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随 状 计算 机 和 网 络 技术 的 日 益 普及 和 广泛 应 用 ,信息 的 应 用 和 共享 日 益 广泛 且 更 为 深入 ， 
各 种 信息 系统 已 经 成 为 国家 基础 设施 。 与 此 同时 ,计算 机 信息 系统 的 安全 问题 日 益 突 
出 ,情况 也 越 来 越 复杂 ,针对 计算 机 信息 系统 的 攻击 与 破坏 事件 层出不穷 ,如 果 不 对 其 
加 以 及 时 和 正确 的 保护 ,这 些 攻击 与 破坏 事件 轻 则 干扰 人 们 的 日 常生 活 , 重 则 造成 巨大 
的 经 济 损失 ,甚至 威胁 到 国家 安全 ,所 以 信息 系统 的 安全 问题 已 经 引起 许多 国家 的 高 度 
重视 ,社会 对 信息 安全 人 才 的 需求 越 来 越 迫 切 。 

确保 信息 系统 安全 是 一 个 整体 概念 ,解决 某 一 信息 安全 问题 通常 要 综合 考虑 硬件 、 
系统 软件 .应 用 软件 ,管理 等 多 层次 的 安全 问题 ,目前 市 面 上 信息 安全 方面 的 书籍 大 多 
侧重 于 网 络 安全 ,而 专门 从 信息 系统 体系 结构 层面 讲解 信息 安全 的 教材 较 少 ,不 利于 相 
关 课 程 教学 的 实施 。 

本 书 以 教育 部 (信息 安全 类 专业 指导 性 专业 规范 》 所 列 知识 点 为 基础 ,从 信息 系统 
的 组 成 要 素 出 发 ,寻求 综合 解决 信息 安全 问题 的 方案 。 信 息 系统 自 底 向 上 由 物理 层 ( 硬 
件 层 ) 操作 系统 、 网 络 ,数据库 .应 用 系统 等 构成 ,只 有 从 信息 系统 硬件 和 软件 的 底层 出 
发 ,确保 信息 系统 各 组 成 部 分 的 安全 ,从 整体 上 采取 措施 ,才能 确保 整个 信息 系统 的 安 
全 。 因 此 ,教材 内 容 以 保障 信息 系统 各 组 成 层次 安全 为 一 级 主线 ,以 各 类 安全 技术 在 信 
息 系 统 不 同 层次 上 的 应 用 为 二 级 主线 进行 优化 重组 ,系统 地 介绍 信息 系统 安全 的 基本 
概念 原理, 技术、 知识 体系 与 应 用 ,覆盖 了 信息 的 存储 、 处 理 、 使 用 传输 与 管理 整个 生 
命 周 期 不 同 环节 的 安全 威胁 与 相应 的 保护 对 策 。 

本 书 内容 共 有 12 章 ,第 1 章 介绍 当前 信息 系统 安全 形势 .信息 系统 安全 的 基本 概 
念 , 发 展 历史 、 主 要 目标 和 技术 体系 ; 第 2 章 介 绍 密码 学 理论 与 应 用 ,具体 包括 密码 学 
的 基本 概念 ,密码 体制 的 组 成 .分 类 以 及 设计 原则 ,古典 密码 体制 .对 称 密码 体制 、 公 钥 
密码 体制 等 密码 学 基本 理论 ,此 外 本 章 还 简单 介绍 了 密码 学 的 应 用 ,具体 包括 用 于 消息 
完整 性 校 验 的 消息 认证 ,用 于 防止 信息 抵赖 的 数字 签名 技术 ,以 及 对 公 钥 进行 有 效 管理 
和 提供 通用 性 安全 服务 的 公 钥 基础 设施 技术 ; 第 3 章 介绍 物理 层面 增强 信息 系统 安全 
的 方法 和 技术 ; 第 4 章 、 第 5 章 分 别 介绍 信息 系统 安全 基本 技术 中 的 身份 认证 和 访问 
控制 ,身份 认证 是 信息 系统 的 第 一 道 安全 防线 ,其 目的 是 确定 用 户 的 合法 性 ,阻止 非法 
用 户 访问 系统 ,访问 控制 是 根据 安全 策略 对 用 户 操作 行为 进行 控制 ,其 目的 是 为 了 保证 
资源 受 控 、 合 法 地 使 用 ; 第 6 章 介绍 操作 系统 安全 机 制 ,重点 介绍 了 存储 保护 审计、 最 
小 特权 等 安全 机 制 以 及 介绍 主流 操作 系统 Windows 和 UNIX/Linux 操作 系统 的 安全 
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机 制 ; 第 7 章 介绍 数据 库 安全 机 制 , 重 点 介绍 数据 库 访问 控制 审计、 备份 恢复 .加 密 等 安全 
技术 ,并 以 实际 数据 库 管理 系统 SQL Server 和 Oracle 为 例 ,介绍 安全 技术 在 产品 中 应 用 情 
况 ; 第 8 章 介 绍 信息 安全 评估 标准 和 我 国 的 信息 安全 等 级 保护 制度 ; 第 9 章 介绍 信息 安全 
风险 评估 的 概念 .工具 人 方法 流程; 本 书 应 用 系统 层 安 全 从 两 个 角度 描述 ,一 是 防止 应 用 程 
序 对 支持 其 运行 的 计算 机 系统 的 安全 产生 破坏 ,二 是 防止 应 用 程序 自身 的 安全 漏洞 被 利用 ， 
这 两 部 分 内 容 分 别 体现 在 第 10、11 章 , 第 10 章 介 绍 病毒 ,木马 .蠕虫 三 类 恶意 代码 的 检测 与 
防范 技术 ,第 11 章 介 绍 软件 安全 漏洞 及 防范 措施 ,重点 介绍 了 Web 应 用 安全 机 制 ; 第 12 
章 介绍 信息 安全 新 技术 ,包括 云 安全 、 物 联网 安全 ,移动 安全 等 。 

陈 萍 提出 了 教材 的 编写 大 纲 , 编 写 了 其 中 第 1.2、3、4、5、6、8、9、10、11 章 , 赵 敏 负责 编写 
第 7、12 章 , 张 涛 对 教材 编写 提出 了 建设 性 的 意见 和 技术 支持 。 

由 于 作者 自身 水 平 有 限 , 必 有 许多 不 足 甚至 错误 之 处 ,县 请 读者 和 专家 提出 宝贵 意见 。 
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第 1 章 信息 系统 安全 概述 


随 着 计算 机 和 网 络 技术 的 日 益 普 及 和 广泛 应 用 ,信息 的 应 用 和 共享 日 益 广泛 且 更 为 深 
和 ,人 类 开始 从 主要 依赖 物质 和 能 源 的 社会 步 人 物质 .能源 和 信息 三 位 一 体 的 社会 。 各 种 信 
息 化 系统 已 经 成 为 国家 基础 设施 ,支撑 着 电子 政务 .电子 商务 .电子 金融 .科学 研究 、 网 络 教 
育 、 能 源 . 通 信 、 交 通 和 社会 保障 等 方方面面 。 

与 此 同时 ,计算 机 信息 系统 的 安全 问题 日 益 突 出 ,情况 也 越 来 越 复杂 ,针对 计算 机 信息 
系统 的 攻击 与 破坏 事件 层出不穷 ,如 果 不 对 其 加 以 及 时 和 正确 的 保护 ,这 些 攻 击 与 破坏 事件 
轻 则 干扰 人 们 的 日 常生 活 , 重 则 造成 巨大 的 经 济 损失 ,甚至 威胁 到 国家 安全 。 很 早 就 有 人 提 
出 了 ”信息 战 ? 的 概念 并 将 信息 武器 列 为 继 原 子 武器 .生物 武器 ,化 学 武器 之 后 的 第 四 大 武 
器 ,所 以 信息 系统 的 安全 问题 已 经 引起 许多 国家 的 高 度 重 视 , 人 们 不 惜 投入 大 量 的 人 力 、 物 
力 和 财力 来 提高 计算 机 信息 系统 的 安全 性 。 

本 章 对 计算 机 信息 系统 安全 问题 进行 了 概述 ,1. 1 节 介 绍 目前 信息 系统 面临 的 主要 安 
全 威胁 ,并 指出 安全 问题 的 根源 ; 1. 2 节 讲 述 信息 系统 安全 的 基本 概念 ,发展 历史 .目标 ; 
1. 3 节 讲 述 信息 系统 安全 防护 的 基本 原则 ; 1. 4 节 介 绍 信息 系统 安全 的 技术 体系 。 


1.1 计算 机 信息 系统 安全 问题 


1.1.1 飞速 发 展 的 信息 化 


人 类 社会 经 历 了 农业 社会 .工业 社会 ,现在 已 经 进入 到 了 信息 社会 ,我国 是 信息 大 国 ,我 
国 的 信息 化 进程 起 步 于 20 世纪 80 年 代 , 经 过 30 多 年 的 建设 ,信息 化 已 经 具有 一 定 的 规模 : 
信息 网 络 ( 电 信和 网 、 互 联网 和 广播 电视 网 ) 成 为 支撑 经 济 社会 发 展 的 重要 基础 设施 ; 信息 产 
业 成 为 重要 的 经 济 增长 点 ; 信息 技术 在 国民 经 济 和 社会 各 领域 得 到 了 广泛 应 用 。 下 面 以 互 
联网 为 例 通过 一 组 数据 说 明 我 国信 息 化 的 发 展 速 度 。 

据 中 国 互联 网 信息 中 心 (CNNIC) 统 计 , 我 国 2002 年 网 民 数量 为 5910 万 人 ,截至 2015 
年 6 月 份 达到 了 6.68 亿 ,手机 网 民 规模 达 5. 94 亿 ; 中 国 互联 网 的 普及 率 已 经 从 2005 年 的 
8.5% 增 加 到 了 2015 年 的 48.8% ,超过 了 全 球 平均 水 平 ,中 国 已 经 超越 美国 成 为 世界 上 互 
联网 使 用 人 数 最 多 ,发 展 速 度 最 快 的 国家 。 

快速 发 展 的 信息 化 引起 了 人 们 生产 方式 、 生 活 方式 的 巨大 变化 , 极 大 地 推动 了 人 类 社会 
的 发 展 和 人 类 文明 的 进步 ,电子 政务 、 电 子 商务 、 网 络 课堂 .电子 邮件 等 已 经 与 我 们 的 生活 息 
息 相 关 , 利 用 网 络 课堂 我 们 可 以 随时 随地 聆听 世界 各 地 的 名 师 讲课 ; 利用 电子 商务 ,我们 足 
不 出 户 就 可 以 购物 等 。 信 息 化 给 我 们 的 生活 带 来 了 极 大 的 方便 ,社会 对 信息 系统 的 依赖 性 
也 日 益 增 强 。 

关于 信息 化 ,各 国 领导 人 均 在 不 同 场合 下 强调 了 其 重要 性 : 

谁 掌握 了 信息 ,控制 了 网 络 , 谁 将 拥有 整个 世界 一 一 美国 著名 未 来 学 家 阿尔 温 。 托 夫 勒 。 
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今后 的 时 代 , 控 制 世界 的 国家 将 不 是 靠 军事 ,而 是 信息 能 力 走 在 前 面 的 国家 一 一 美国 前 
总 统 克 林 顿 。 
信息 时 代 的 出 现 ,将 从 根本 上 改变 战争 的 进行 方式 一 一 美国 前 陆军 参谋 长 沙 利文 上 将 。 


1.1.2 信息 安全 形势 严峻 


信息 化 是 一 把 双 刃 剑 , 信 息 化 程度 越 高 ,信息 安全 威胁 带 来 的 危害 也 就 越 大 。 据 美国 金 
融 时 报 报道 ,世界 上 平均 每 20s 就 发 生 一 次 人 侵 国 际 互 联网 的 计算 机 安全 事件 。 据 4 中国 互 
联网 状况 白皮书 报道 ,我 国 被 境外 控制 的 计算 机 IP 地 址 达 100 多 万 个 ,被 算 改 的 网 站 4. 2 
万 个 ,被 蠕虫 病毒 感染 的 计算 机 每 月 达 1800 万 台 , 成 为 世界 上 被 黑客 攻击 的 主要 受害 国 。 
信息 安全 已 经 渗透 到 国家 的 政治 、 经 济 、 军 事 等 领域 。2013 年 震惊 全 球 的 美国 中 央 情 报 
局 前 雇员 斯 诺 登 爆料 的 “棱镜 门 ? 事 件 , 证 实 了 美国 一 直 以 来 对 中 国 进行 着 全 方位 的 监 
控 , 中 国 的 信息 安全 形势 十 分 严峻 。 信 息 安 全 对 政治 、 经 济 、. 社 会 稳定 、 军 事 等 都 产生 了 巨 
大 的 影响 。 

1. 信息 安全 与 政治 

目前 政府 上 网 已 经 大 规模 地 发 展 起 来 ,电子 政务 工程 已 经 在 全 国 启动 。 政 府 网 络 的 安 
全 直接 代表 了 国家 形象 。 从 1999 年 到 2001 年 ,我 国 一 些 政府 网 站 曾 遭 受 4 次 大 的 黑客 攻 
击 事件 。 

第 1 次 在 1999 年 1 月 左右 ,美国 黑客 组 织 * 美 国 地 下 军团 ?联合 波兰 .英国 的 黑客 组 织 
及 其 他 黑客 组 织 , 有 组 织 地 对 我 国 的 政府 网 站 进行 了 攻击 。 

第 2 次 是 在 1999 年 7 月 ,李登辉 提出 两 国 论 的 时 候 。 

第 3 次 是 在 2000 年 5 月 ,美国 友 炸 我 国 驻 南 联盟 大 使 馆 后 。 

第 4 次 是 在 2001 年 4 月 至 5 月 ,美国 战机 撞 毁 王 伟 战 机 并 侵入 我 国 南海 机 场 后 。 

从 2004 年 以 后 ,网 络 威胁 呈现 多 样 化 , 除 传统 的 病毒 .垃圾 邮件 外 ,危害 更 大 的 间谍 软 
件 、. 广 告 软件 .网 络 钓鱼 等 纷纷 加 入 互联 网 安全 破坏 者 的 行列 ,成 为 威胁 计算 机 安全 的 帮凶 。 
间谍 软件 的 危害 甚至 超越 传统 病毒 ,成 为 互联 网 安全 最 大 的 威胁 ,因此 目前 ,军队 以 及 一 些 
政府 机 关 的 计算 机 是 不 允许 接 入 互联 网 的 。 

2008 年 5 月 1 日 ,我 国 颁布 施行 了 《政府 信息 公开 条 例 》, 该 (条 例 ) 的 推行 对 政府 信息 
化 建设 提出 了 新 的 要 求 ,同时 也 对 电子 政务 信息 系统 的 网 络 安全 提出 了 更 高 的 要 求 。 由 于 
政府 网 站 整体 安全 水 平 较 低 ,往往 是 黑客 攻击 的 重要 目标 ,因此 ,作为 政府 对 外 形象 的 窗口 、 
发 布 权威 信息 和 与 公众 开放 交流 的 平台 ,电子 政务 信息 系统 的 网 络 安全 管理 是 一 个 需要 各 
级 部 门 高 度 重 视 的 问题 。 

2. 信息 安全 与 经 济 

一 个 国家 信息 化 程度 越 高 ,整个 国民 经 济 和 社会 运行 对 信息 资源 和 信息 基础 设施 的 依 
赖 程度 也 就 越 高 ,计算 机 犯罪 造成 的 经 济 损失 也 就 越 大 。1999 年 4 月 26 日 ,台湾 大 学 生 陈 
英豪 编制 的 CIH 病毒 大 爆发 , 据 统计 ,我 国 受 其 影响 的 PC 总 量 达 36 万 台 之 多 ,经 济 损失 高 
达 12 亿 。2003 年 的 冲击 波 病毒 (Worm_MSBLAST) 造 成 了 全 球 上 百 亿 的 经 济 损失 ,2006 
年 ,能 将 计算 机 中 的 所 有 文件 全 部 变 成 熊猫 烧香 图 标的 熊猫 烧香 病毒 造成 了 上 亿 元 的 经 济 
损失 。 表 1. 1 列举 了 部 分 攻击 事件 造成 的 经 济 损失 。 





表 1.1 攻击 事件 造成 的 经 济 损失 





年 份 攻击 行为 发 起 者 损失 金额 
1998 CIH 病毒 8000 万 美元 
1999 梅 利落 (Melissa) 全 球 约 3 一 6 亿美 元 
2000 Love Letter 88 亿 
2001 红色 代码 26 亿 
2003 Worm_MSBLAST 上 百 亿 
2006 熊猫 烧 香 病毒 上 亿 
2007 网 游 大 盗 手 开 


自从 1988 年 计算 机 安全 应 急 响应 组 (Computer Emergency Response Team,CERT) 因 
Morris 蠕虫 事件 成 立 以 来 ,Internet 安全 威胁 事件 逐年 上 升 ,近年 来 的 增长 态势 变 得 尤为 迅 
猛 ,从 1998 年 到 2009 年 ,平均 年 增长 幅度 达到 了 50%% 左 右 ,这些 安全 事件 带 来 了 巨大 的 经 
济 损失 ,以 美国 为 例 , 其 每 年 因为 安全 事件 造成 的 经 济 损失 超过 170 亿美 元 。 

3. 信息 安全 与 社会 稳定 

在 互联 网 上 散布 虚假 信息 、 有 害 信 息 对 社会 秩序 造成 的 危害 比 起 现实 世界 散布 谣言 所 
带 来 的 危害 更 大 ,严重 的 会 影响 社会 稳定 。 

1999 年 4 月 ,河南 商都 热线 的 一 个 BBS 上 ,一 张 帖子 发 布 虚假 消息 ,说 交通 银行 郑州 支 
行 行 长 携 巨 款 外 逃 , 造 成 社会 动荡 ,3 天 10 万 人 上 街 排队 ,一 天 提 款 10 多 亿 元 。2010 年 8 月 
10 日 ,一 名 17 岁 少年 在 “贴吧 ”上 散布 福建 泉州 地 震 的 谣言 ,由 于 发 布 在 知名 度 很 高 的 网 站 
上 ,引起 全 国 各 地 网 民 关注 ,造成 极为 不 良 的 影响 ,该 少年 12 日 下 午 即 被 警方 抓获 。 

网 络 上 的 用 户 多 种 多 样 ,尤其 是 近年 来 上 网 的 用 户 越 来 越 多 ,各 种 言论 和 服务 很 难 
规范 。 为 了 保证 网 上 内 容 健康 ,2006 年 4 月 9 日 ,北京 千 龙 网 .新 浪 网 等 联合 向 全 国 互 联 
网 界 发 出 文明 办 网 倡议 书 , 倡 议 互 联网 界 文明 办 网 ,把 互联 网 站 建设 成 为 传播 先进 文化 的 
阵地 。 

4. 信息 安全 与 军事 

信息 安全 与 军事 紧密 相关 ,在 第 二 次 世界 大 战 中 ,美国 破译 了 日 本 人 的 密码 ,几乎 全 歼 
山本 五 十 六 的 舰队 ,重创 了 日 本 海军 。 信 息 时 代 的 出 现 , 从 根本 上 改变 了 战争 的 进行 方式 ， 
1991 年 的 海湾 战争 是 一 个 分 界 点 。1991 年 海湾 战争 前 ,战争 主要 以 机 械 化 战争 为 主 ,而 海 
湾 战 争 后 出 现 了 以 信息 战 为 主 的 作战 形态 。 下 面 介绍 几 个 信息 战 的 重要 实例 。 

海湾 战争 : 是 1991 年 1 月 17 日 至 2 月 28 日 ,以 美国 为 首 的 多 国联 盟 在 联合 国安 理会 
的 授权 下 ,为 恢复 科威特 领土 完整 而 对 伊拉克 进行 的 局 部 战争 。 美 军 通 过 向 带 病 毒 芯 片 的 
打印 机 设备 发 送 指 令 , 致 使 伊拉克 和 军队 系统 瘫 痰 ,轻易 地 氛 锚 了 伊 军 的 防空 系统 ,多 国 部 队 
运用 精湛 的 信息 技术 , 仅 以 伤亡 百 余 人 的 代价 取得 了 歼 敌 十 多 万 人 的 成 果 。 海 湾 战 争 被 称 
为 “世界 上 首次 全 面 信息 战 ”, 充 分 显示 了 现代 高 技术 条 件 下 “控制 信息 权 ” 的 关键 作用 。 

科索沃 战争 : 是 1999 年 3 月 24 日 至 6 月 10 日 ,北约 对 南斯拉夫 的 空袭 行动 。 在 此 次 
战争 中 美国 的 电子 专家 成 功 侵入 了 南 联盟 防空 体系 的 计算 机 系统 , 当 南 联盟 军官 在 计算 机 
屏幕 上 看 到 敌 机 目标 的 时 候 , 天 空 上 其 实 什 么 也 没有 ,通过 这 种 方法 ,美军 成 功 迷惑 了 南 联 
盟 , 使 南 联 盟 浪 费 了 大 量 的 人 力 物力 资源 。 
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随 着 计算 机 和 网 络 技术 的 发 展 , 当 前 的 军事 战争 是 信息 化 战争 ,信息 对 抗 的 攻防 能 力 已 
成 为 国防 力量 之 一 ,利用 病毒 等 作战 的 典型 战例 除了 前 述 的 海湾 战争 .科索沃 战争 外 ,2007 
年 爱沙尼亚 拆除 了 第 二 次 世界 大 战 苏 联 将 士 雕像 ,引起 与 俄罗斯 的 紧张 关系 ,爱沙尼亚 遭受 
网 络 攻击 ,政府 、 报 纸 银行 .企业 网 站 全 部 瘫痪 。2010 年 为 了 打击 伊朗 的 核武 器 制造 计划 ， 
美国 ,以 色 列 研发 * 震 网 ”Stuxnet) 蠕 虫 ,导致 伊朗 60% 的 计算 机 感染 ,离心 机 多 次 出 现 故 
障 , 从 而 延迟 了 伊朗 的 核武 器 制造 计划 。 

面 对 严峻 的 信息 安全 形势 ,各 个 国家 纷纷 出 台 各 项 政策 以 增强 信息 系统 安全 防护 能 力 ， 
减少 信息 安全 问题 带 来 的 损失 。2003 年 美国 发 布 了 《国家 网 络 安全 战略 》, 正 式 将 网 络 安全 
提升 至 国家 安全 的 战略 高 度 ; 2009 年 5 月 美国 奥巴马 新 政府 公布 了 《网 络 空间 策略 评估 》， 
指出 美国 存在 诸多 网 络 安全 隐患 ,表示 将 制定 新 的 综合 方案 来 保护 国家 信息 基础 设施 。 网 
络 空间 又 称 赛 博 空间 (Cyberspace) ,已 经 成 为 继 陆 海 . 空 ,天 之 后 新 的 战场 空间 ,为 了 确保 
在 未 来 网 络 战 中 拥有 绝对 的 信息 优势 ,2009 年 美国 成 立 网 络 司令 部 ,招募 4000 名 黑客 ,组 
建 特种 部 队 , 该 部 队 主要 担负 网 络 攻 防 任 务 , 并 计划 于 2030 年 左右 完成 网 络 战 部 队 的 全 面 
组 建 , 英 \ 俄 ,日 . 韩 等 国 也 已 经 组 建 或 正在 组 建 网 络 战 部 队 。 我 国 是 受 黑 客 攻击 的 主要 受害 
国之 一 ,为 了 提升 网 络 信息 安全 防护 能 力 , 自 2002 年 起 相继 召开 了 “国家 信息 安全 保障 体系 
战略 研讨 会 “信息 安全 保障 发 展 战略 研讨 会 "等 ,并 先后 成 立 了 多 个 研究 机 构 和 重点 实验 
室 , 开 展 信息 安全 防护 相关 技术 的 研究 。 


1.1.3 信息 系统 安全 问题 的 根源 


按照 我 国 颁布 的 (计算 机 信息 系统 安全 保护 等 级 划分 准则 ;的 定义 ,计算 机 信息 系统 是 
指 由 计算 机 及 其 相关 的 配套 设备 .设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规格 对 信息 
进行 采集 加工、 存储 、 传 输 、 处 理 的 人 机 系统 。 

一 个 计算 机 信息 系统 由 硬件 、 软 件 以 及 使 用 人 员 三 部 分 组 成 。 其 中 硬件 系统 包括 组 成 
计算 机 、 网 络 的 硬 设备 及 其 他 配套 设备 。 软 件 系 统 包 括 操作 平台 软件 、 应 用 平台 软件 和 应 用 
业务 软件 。 操 作 平 台 软件 通常 是 指 操作 系统 和 语言 及 其 编译 系统 ; 应 用 平台 软件 通常 是 指 
支持 应 用 开发 的 软件 ,如 数据 库 管理 系统 及 其 开发 工具 、 各 种 应 用 编译 和 调试 工具 等 ; 应 用 
业务 软件 是 指 专 为 某 种 应 用 开发 的 软件 。 

信息 系统 之 所 以 是 脆弱 的 ,从 技术 的 角度 来 看 主要 原因 有 以 下 三 个 。 

1. 网 络 和 通信 协议 的 脆弱 性 

因特网 技术 给 全 球 信息 共享 带 来 了 方便 ,但 是 基于 TCP/IP 协议 栈 的 因特网 及 其 通信 
协议 在 设计 时 ,只 考虑 了 互联 互通 和 资源 共享 问题 ,存在 大 量 安全 漏洞 。 例 如 要 建立 一 个 完 
整 的 TCP 连接 ,必须 要 在 两 台 通信 的 计算 机 之 间 完 成 三 次 握手 过 程 , 如 图 1. 1 所 示 ,如 果 三 
次 握手 不 能 够 完成 ,将 处 于 半 开 连接 状态 (Half-open) ,如 图 1. 2 所 示 ,此 时 服务 器 端口 一 直 
处 于 打开 状态 以 等 待 客户 端的 通信 ,这 个 特性 往往 会 被 攻击 者 利用 。SYN Flooding 拒绝 服 
务 攻击 就 是 利用 了 TCP 协议 三 次 握手 中 的 脆弱 点 进行 的 攻击 .在 SYN Flooding 攻击 中 , 攻 
击 者 向 目标 机 发 送 大 量 伪造 源 地 址 的 TCP SYN 报 文 ,这 些 报 文 的 源 地 址 是 虚假 的 ,或 者 是 
根本 不 存在 的 , 当 目 标 机 收 到 这 样 的 请 求 后 ,向 源 地 址 回复 ACK 十 SYN 数据 包 , 由 于 源 地 
址 是 假 的 IP 地 址 ,因此 没有 任何 响应 ,于 是 目标 机 继续 发 送 ACK 十 SYN 数据 包 , 并 将 该 半 
开放 连接 放 入 端口 的 积压 队列 中 ,虽然 一 般 系统 都 有 默认 的 回复 次 数 和 超时 时 间 , 但 由 于 端 
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口 积 压 队列 的 大 小 有 限 ,如 果 不 断 向 目标 机 发 送 大量 伪 造 IP 的 SYN 请 求 ,就 会 形成 通常 所 
说 的 端口 被 * 济 ” 的 情况 ,使 目标 机 不 能 提供 正常 的 服务 功能 。 








源 主机 目标 主机 源 主机 目标 主机 
报 文 段 IH_SYNx LISTEN 报 文 段 1 SYNx LISTEN 
报 文 段 2 报 文 段 2 
SYN_RECVD SYN_RECVD 
报 文 段 3 
CONNECTED 
图 1.1 TCP 连接 成 功 图 1.2 TCP 半 连 接 状 态 


2. 信息 系统 的 缺陷 


信息 系统 主要 由 硬件 和 软件 构成 , 硬 软件 自身 的 缺陷 客观 上 导致 了 计算 机 系统 在 安全 
上 的 脆弱 性 。 计 算 机 硬件 系统 由 于 生产 工艺 的 原因 ,存在 电路 短路 、 断 线 、 接 触 不 良 、 电 压 波 
动 的 干扰 等 安全 问题 ; 而 计算 机 软件 的 问题 主要 受 人 们 认 知 能 力 和 实践 能 力 的 局 限 性 ,在 
系统 设计 和 开发 过 程 中 会 产生 许多 错误 、 缺 陷 和 漏洞 ,成 为 安全 隐患 ,而 且 系 统 越 大 、 越 复 
杂 , 这 种 安全 隐患 越 多 。 有 专家 指出 : 程序 每 千 行 中 至 少 有 一 个 缺陷 ,而 目前 一 个 大 型 软件 
通常 有 数 百 万 甚至 数 千 万 行 语句 ,这 就 意味 着 一 个 软件 可 能 有 几 万 个 差错 , 随 着 系统 的 功能 
越 做 越 强 大 ,复杂 性 也 不 断 增加 ,错误 会 越 来 越 多 。 

3. 黑客 的 恶意 攻击 

人 的 因素 是 影响 信息 安全 问题 的 最 主要 因素 ,人 的 恶意 攻击 也 称 为 黑客 攻击 。 早 在 
20 世纪 60 年 代 至 70 年 代 , 黑 客 一 词 是 讲义 的 ,他 们 是 独立 思考 、 奉 公 守 法 的 计算 机 迷 ， 
典型 代表 有 微软 的 盖 茨 .苹果 公司 的 伍 蒋 和 乔布斯 。 当 今 黑 客 是 指 专门 冯 和 计算 机 系 
统 、 网 络 . 电 话 系统 和 其 他 通信 系统 ,具有 不 同 的 目的 ,非法 入 侵 和 破坏 系统 .窃取 信息 的 
攻击 者 。 

随 着 网 络 的 发 展 ,黑客 组 织 越 来 越 扩 大 化 ,现在 跨 地 区 、 跨 国界 的 大 型 黑客 组 织 已 经 出 
现 , 行 动 越 来 越 公 开化 ,如 每 年 的 黑 帽 (Black Hat) 大 会 就 是 全 球 最 大 规模 的 黑客 聚会 。 
2008 年 8 月 ,第 12 届 BlackHatUSA 大 会 在 美国 内 华 达 州 拉 斯 维 加 斯 的 凯撒 皇宫 酒店 揭 开 
帷幕 ,在 为 期 两 天 的 会 议 中 ,共有 来 自 全 球 的 超过 4500 名 参 会 者 针对 各 种 攻击 技术 进行 广 
泛 交流 ,美国 政府 也 借 此 会 议 乘机 招募 黑客 人 才 。2009 年 3 月 ,在 加 拿 大 温哥华 市 举行 了 
名 为 Pwn2Own 的 2009 年 全 球 黑客 大 赛 ,包括 IE8 在 内 的 多 套 软件 被 攻破 。 同 时 由 于 存在 
大 量 公 开 的 黑客 站 点 ,获得 黑客 工具 非常 容易 ,黑客 技术 也 越 来 越 易 于 掌握 ,黑客 案件 越 来 
越 频繁 化 ,网 络 面临 的 威胁 也 越 来 越 大 。 据 权威 机 构 调 查 显示 ,计算 机 攻击 事件 正 以 年 
50% 以 上 的 速度 增加 。 如 2008 年 上 半年 ,国内 外 黑客 组 织 对 我 国 网 站 攻击 频繁 ,平均 每 天 
就 有 数 百 起 网 站 被 黑 以 及 网 页 被 算 改 的 事件 发 生 ,其 中 来 自 土耳其 的 黑客 组 织 reDMin、 
sinaritx 等 表现 活跃 。 








1.2 信息 系统 安全 的 概念 


1.2.1 信息 系统 安全 的 定义 


在 讨论 信息 安全 之 前 , 先 了 解 “安全 ”的 含义 ,安全 的 基本 定义 为 “远离 有 危害 的 状态 或 
特性 ?或 “客观 上 不 存在 威胁 .主观 上 不 存在 丽 惧 ”。 中 国 的 孙子 兵法 ?给 出 了 安全 最 本 质 的 
含义 :“ 用 兵 之 法 : 无 导 其 不 来 , 情 召 有 以 代 也 ; 无 圭 其 不 攻 , 导 吉 有 所 不 可 攻 也 。?" 安 全 问题 
在 各 个 领域 普遍 存在 , 随 着 计算 机 网 络 的 迅速 发 展 ,人 们 对 信息 在 存储 、 处 理 和 传递 过 程 中 
涉及 的 安全 问题 越 来 越 关注 ,信息 领域 的 安全 问题 变 得 非常 突出 。 

传统 的 信息 安全 只 强调 信息 本 身 的 安全 属性 ,信息 论 的 基本 原理 告诉 我 们 ,信息 不 能 脱 
离 它 的 载体 而 孤立 存在 ,因此 不 能 脱离 信息 系统 而 孤立 地 谈论 信息 安全 ,我 们 应 当 从 信息 系 
统 的 角度 来 全 面 考虑 信息 安全 的 内 涵 。 

什么 是 信息 系统 安全 (the Security of Information System) 呢 ? 给 信息 系统 安全 下 一 个 
确切 的 定义 是 比较 困难 的 ,因为 它 包 含 的 内 容 太 过 广泛 ,国际 标准 化 组 织 (ISO) 对 信息 系统 
安全 提出 的 建议 定义 是 :“ 为 数据 处 理 系统 建立 和 采取 的 技术 和 管理 的 安全 保护 。 保 护 计 
算 机 硬件 、 软 件 、 数 据 不 因 偶然 的 或 恶意 的 原因 而 遭受 破坏 、 更 改 、 汇 露 ”"。 国 内 一 些 学 者 建 
议 的 定义 为 :“ 信 息 系 统 安全 通常 是 指 信息 网 络 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ， 
不 受 偶 然 的 或 者 恶意 的 原因 而 遭 到 破坏 .更 改 、. 泄 露 ,系统 连续 可 靠 正 常 地 运行 ,信息 服务 不 
中 断 ”。 

信息 系统 安全 主要 包括 4 个 层面 , 即 设备 安全 ,数据 安全 内容 安全 、 行 为 安全 ,其 中 数 
据 安全 即 传统 的 信息 安全 。 信 息 系统 设备 的 安全 是 信息 系统 安全 的 首要 问题 ,包括 三 个 侧 
面 : 设备 的 稳定 性 (Stability)、 设 备 的 可 靠 性 (Reliability)、 设 备 的 可 用 性 (Availabity)。 数 
据 安 全 是 指 采 取 措 施 确保 数据 免 受 未 授权 的 泄露 , 自 改 和 毁坏 ,这 个 定义 明确 了 信息 系统 安 
全 的 三 个 侧面 : 数据 的 秘密 性 (Secrety)、 数 据 的 真实 性 (Authenticity) 数据 的 完整 性 
(Integrity)。 内 容 安全 是 信息 安全 在 法 律 ,政治 .道德 层次 上 的 要 求 ,信息 内 容 在 政治 上 是 
健康 的 ,必须 符合 国家 法 律 法 规 , 必 须 符合 中 华 民 族 优良 的 道德 规范 。 行 为 安全 是 信息 安全 
的 终极 目标 ,确保 行为 的 秘密 性 、 完 整 性 和 可 控 性 ,行为 的 秘密 性 是 指 行为 不 能 危害 数据 的 
秘密 性 ,必要 时 行为 的 过 程 和 结果 也 是 秘密 的 ; 行为 的 完整 性 是 指 行为 不 能 危害 数据 的 完 
整 性 ,行为 的 过 程 和 结果 是 预期 的 ; 行为 的 可 控 性 是 指 当 行 为 的 过 程 出 现 偏离 预期 时 ,能 够 
发 现 、 控 制 或 纠正 。 

信息 系统 安全 必须 确保 信息 在 获取 、 存 储 、 传 输 和 处 理 各 个 环节 的 安全 ,信息 系统 硬件 
安全 和 操作 系统 安全 是 信息 系统 安全 的 基础 ,确保 信息 系统 安全 是 一 个 系统 工程 ,只 有 从 信 
息 系统 的 硬件 和 软件 的 底层 出 发 ,从 整体 上 采取 措施 ,才能 比较 有 效 地 确保 信息 系统 的 
安全 。 

为 了 表述 简单 ,在 不 产生 歧义 的 情况 下 可 以 直接 将 信息 系统 安全 简称 为 信息 安全 。 


1.2.2 信息 系统 安全 的 目标 
一 个 计算 机 信息 系统 达到 怎样 的 目标 才 算 安全 ? 为 了 回答 这 个 问题 ,我们 首先 要 对 信 
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息 系统 面临 的 攻击 进行 分 析 。 为 了 获取 有 用 的 信息 或 者 达到 某 种 目的 ,攻击 者 会 采取 各 种 
攻击 方法 对 信息 系统 进行 攻击 ,虽然 攻击 的 表现 形式 多 样 , 但 是 从 本 质 上 说 ,这 些 攻 击 主要 
分 为 两 类 , 即 被 动 攻击 和 主动 攻击 。 

1. 被 动 攻击 

被 动 攻击 是 指 攻击 者 在 未 被 授权 的 情况 下 ,对 传输 的 信息 进行 窃听 和 监测 以 非法 获取 
信息 或 数据 文件 ,但 不 对 数据 信息 做 任何 修改 ,通常 包括 监听 未 受 保护 的 通信 、 流 量 分 析 、 解 
密 弱 加 密 的 数据 流 、 获 得 认证 信息 等 。 常 用 的 被 动 攻击 的 手段 主要 包括 搭 线 监听 无 线 截 
获 . 其 他 截获 .流量 分 析 等 。 

(1) 搭 线 监听 : 将 导线 搭 到 无 人 值守 的 网 络 传输 线路 上 进行 监听 。 只 要 所 搭 的 监听 设 
备 不 影响 网 络 负载 ,通常 不 易 被 发 觉 ,通过 解 调 和 正确 的 协议 分 析 , 完 全 可 以 掌握 通信 的 全 
部 内 容 。 

(2) 无 线 截获 : 通过 高 灵敏 接收 装置 接收 网 络 站 点 或 网 络 连接 设备 辐射 的 电磁 波 , 通 
过 对 电磁 信号 的 分 析 获 得 网 络 数据 。 

(3) 其 他 截获 : 在 通信 设备 或 主机 中 种 植木 马 或 病毒 程序 后 ,这 些 程序 会 将 有 用 的 信 
息 发 送出 来 。 

(4) 流量 分 析 (Traffic Analysis): 如 果 由 于 通过 某 种 手段 使 得 攻击 者 从 截获 的 信息 中 
无 法 得 到 消息 的 真实 内 容 ,攻击 者 还 可 以 利用 统计 分 析 方 法 对 诸如 通信 双方 的 通信 频 度 、 消 
息 格 式 .通信 的 信息 流向 .通信 和 总 量 的 变化 等 参数 进行 监测 研究 ,从 中 发 现 有 价值 的 信息 和 
规律 。 

被 动 攻击 由 于 不 涉及 对 数据 的 更 改 , 很 难 察觉 ,对 于 被 动 攻击 的 重点 在 于 预防 ,而 不 是 
检测 ,预防 的 手段 包括 加 密 通 信 数 据 等 。 



















































































2. 主动 攻击 
主动 攻击 是 指 对 数据 进行 自 改 和 伪造 。 主 1 bn 
动 攻击 的 手段 主要 分 为 4 类 , 即 伪装 、 重 放 、 复 5 攻 [ 
改 、 拒 绝 服务 ,如 图 1. 3 所 示 。 
(1) 伪装 : 是 指 一 个 实体 假冒 另 一 个 实体 ， 伪装 笋 改 
通常 攻击 者 通过 欺骗 系统 冒充 成 为 合法 用 户 以 一 一。 、 盖 
获取 合法 用 户 的 权限 或 特权 小 的 攻击 者 骨 充 成 [了 下。 一 CD 
为 特权 大 的 用 户 。 让 入 后 服 务 基 而 
(2) 重 放 : 攻击 者 对 截获 的 数据 进行 复制 ， 
并 在 非 授权 的 情况 下 进行 传输 。 重 放 攻击 也 会 画工 寺 主动 直 二 的 二 各 于 冯 


带 来 严重 的 危害 ,例如 司令 员 向 前 方 战 士 发 出 指 
令 要 求 前 进 10m ,该 指令 被 截获 并 被 复制 ,在 非 授权 的 情况 下 ,攻击 者 再 次 发 送 这 样 的 指令 ， 
使 得 战士 向 前 行进 了 20 米 ,由 于 重 放 攻 击 ,使 得 战士 多 向 前 行进 了 10m, 这 在 战争 中 会 带 来 
非常 严重 的 后 果 。 

(3) 算 改 : 对 合法 消息 的 某 些 部 分 进行 修改 .删除 ,或 者 延迟 消息 的 传输 改变 消息 的 
传输 顺序 ,以 产生 混淆 是 非 的 效果 。 

(4) 拒绝 服务 (Denial-of-Service,DoS): 阻止 或 者 禁止 信息 系统 的 正常 使 用 , 它 的 主要 
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形式 是 破坏 某 实 体 网 络 或 信息 系统 ,使 得 被 攻击 目标 资源 耗 尽 或 降低 其 性 能 。 早 期 的 DoS 
攻击 是 一 对 一 的 攻击 ,攻击 机 向 目标 机 发 送 大 量 无 用 数据 包 , 当 目标 机 的 CPU、 内 存 等 性 能 
指标 比较 低 时 ,目标 机 的 资源 就 会 耗费 在 处 理 这 些 无 用 数据 上 ,而 正常 的 访问 请 求 就 会 长 时 
间 得 不 到 响应 。 随 着 计算 机 处 理 能 力 的 增长 ,采用 一 对 一 的 攻击 方式 已 经 不 能 达到 明显 的 
攻击 效果 ,这 时 分 布 式 拒绝 服务 (Distribute Denial-of-Service) 攻 击 就 应 运 而 生 了 ,分 布 式 拒 
绝 服务 攻击 采用 多 对 一 的 攻击 方式 ,采用 10 台 或 100 台 攻 击 机 同时 攻击 目标 机 ,以 比 以 前 
更 大 的 规模 来 进攻 受害 者 。 

主动 攻击 的 特点 与 被 动 攻 击 正好 相反 ,被 动 攻 击 虽 然 难 以 检测 ,但 是 可 采取 措施 有 效 防 
止 ; 而 要 防止 主动 攻击 是 十 分 困难 的 ,因为 需要 保护 的 范围 太 大 了 ,对 付 主动 攻击 的 重点 在 
于 检测 并 从 攻击 造成 的 破坏 中 及 时 恢复 。 

针对 主动 攻击 和 被 动 攻击 造成 的 破坏 ,提出 了 信息 系统 安全 的 目标 。 信 息 系统 安全 的 
目标 是 保护 信息 的 机 密 性 、 完 整 性 、 可 用 性 、 认 证 和 不 可 否认 性 ,其 中 机 密 性 是 针对 信息 窃取 
提出 的 安全 目标 ; 完整 性 是 针对 主动 攻击 中 的 自 改 和 重 放 攻 击 提出 的 安全 目标 ; 针对 伪装 
攻击 ,提出 了 认证 的 安全 目标 ; 针对 拒绝 服务 攻击 ,提出 了 可 用 性 的 安全 目标 。 上 述 主动 攻 
击 和 被 动 攻 击 通常 是 由 第 三 方 实施 的 攻击 行为 ,在 信息 通信 尤其 在 电子 商务 中 还 存在 通信 
的 一 方 由 于 利益 原因 抵赖 参与 过 通信 的 过 程 ,这 种 行为 称 为 信息 抵赖 ,针对 信息 抵赖 ,提出 
了 不 可 否认 性 的 安全 目标 ,如 图 1.4 所 示 。 确 保 信 息 系统 安全 就 是 要 实现 上 述 5 个 目标 ,其 
中 前 三 个 目标 是 信息 系统 安全 需要 满足 的 最 基本 安全 目标 , 简 记 为 CIA (Confidentiality， 
Integrity, Availability) 。 





















































《 被动 攻击 ) 《信息 窃取 )= | 机 密 性 
1 
香 改 ， 完 开 性 
主动 攻击 | 
拒绝 服务 : 可 用 性 
(信息 抵 下 ) 不 可 耕 认 性 
4 


图 1.4 攻击 类 型 与 安全 目标 的 关系 


1) 机 密 性 (Confidentiality) 

机 密 性 是 指 确保 信息 不 被 非 授 权 访 问 , 即 使 非 授权 用 户 得 到 信息 也 无 法 知晓 信息 内 容 ， 
有 时 也 称 为 保密 性 。 

实现 机 密 性 的 方法 一 般 是 对 信息 加 密 , 或 是 对 信息 划分 密级 并 为 访问 者 分 配 访问 权限 ， 
系统 根据 用 户 的 身份 权限 控制 对 不 同 密 级 信息 的 访问 。 针 对 流量 分 析 攻 击 导致 的 信息 泄露 
可 通过 业务 流 填充 来 应 对 ,业务 流 填充 是 指 在 业务 闲 时 发 送 无 用 的 随机 数据 ,增加 攻击 者 通 
过 通信 流量 获得 信息 的 困难 , 它 是 一 种 制造 假 的 通信 产生 欺骗 性 数据 单元 或 在 数据 单元 中 
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填充 假 数据 的 安全 机 制 :发送 的 随机 数据 应 具有 良好 的 模拟 性 能 ,能 够 以 假 乱 真 。 例 如 跟 平 
时 相 比 ,在 发 生 重大 军事 行动 时 ,指挥 所 和 作战 部 队 之 间 的 通信 和 量 会 增加 , 敌 方 可 以 根据 通 
信 流 量 的 变化 推测 某 些 军事 行动 的 发 生 ,因此 为 了 防止 敌 方 的 流量 分 析 , 在 平时 也 要 发 送 一 
些 无 用 的 信息 。 

2) 完整 性 (Integrity) 

完整 性 是 保证 信息 的 真实 性 , 即 信息 在 生成 .传输 、 存 储 和 使 用 过 程 中 不 应 发 生 非 授权 
的 算 改 、 丢 失 。 对 于 军用 信息 来 说 ,完整 性 破坏 可 能 意味 着 延误 战机 、 闲 置 战 斗 力 等 。 实 现 
完整 性 的 方法 一 般 是 通过 访问 控制 阻止 自 改 行为 ,同时 通过 消息 摘要 算法 来 检验 信息 是 否 
被 算 改 。 

3) 可 用 性 (Availability) 

可 用 性 用 来 保障 信息 资源 随时 可 提供 服务 的 能 力 特 性 , 即 授 权 用 户 可 以 根据 需要 随时 
访问 所 需 信息 。 可 用 性 是 信息 资源 服务 功能 和 性 能 可 靠 性 的 度量 ,涉及 物理 .网络 、 系 统 、 数 
据 、 应 用 和 用 户 等 多 方面 的 因素 ,是 对 信息 网 络 总 体 可 靠 性 的 要 求 。 为 了 实现 可 用 性 ,可 以 
采取 备份 和 灾难 恢复 、 应 急 响应 、 系 统 容 灾 等 安全 措施 。 

4) 不 可 否认 性 (Non-Repudiation) 

不 可 否认 性 又 称 为 不 可 抵赖 性 ,是 指 信息 的 发 送 者 无 法 否认 已 发 出 的 信息 或 信息 的 部 
分 内 容 ,信息 的 接收 者 无 法 否认 已 经 接收 的 信息 或 信息 的 部 分 内 容 。 实 现 不 可 否认 性 的 措 
施主 要 有 数字 签名 、 可 信 第 三 方 认证 技术 等 。 

5) 认证 (Authentication) 

认证 的 目的 是 通过 对 用 户 身份 进行 鉴别 ,确保 一 个 实体 没有 试图 冒充 别 的 实体 ,具体 认 
证 手段 有 口令 、 智 能 卡 、 指 纹 或 视网膜 ,一 次 性 口令 技术 、 认 证 协议 、 多 因素 认证 等 。 

除 此 之 外 ,不 同 的 信息 系统 根据 业务 类 型 的 不 同 , 可 能 还 有 更 加 细 化 的 具体 要 求 , 包 括 
可 控 性 (Controllability) ,可 审查 性 (Auditability) ,可 存活 性 (Survivability) 等 。 可 控 性 就 是 
对 信息 及 信息 系统 实施 实时 监控 ,确保 系统 状态 可 被 授权 方 控制 ; 可 审查 性 是 指使 用 审计 
等 安全 机 制 ,使 得 使 用 者 (包括 合法 用 户 ,攻击 者 、 破 坏 者 ,抵赖 者 等 ) 的 行为 有 证 可 查 ,并 能 
够 对 网 络 出 现 的 安全 问题 提供 调查 依据 和 手段 ; 可 存活 性 是 指 计算 机 系统 的 这 样 一 种 能 
力 : 它 能 在 面 对 各 种 攻击 和 错误 的 情况 下 继续 提供 核心 的 服务 ,而 且 能 够 及 时 地 恢复 全 部 
的 服务 ,这 是 一 个 新 的 融合 计算 机 安全 和 业务 风险 管理 的 课题 , 它 的 焦点 不 仅 是 对 抗 计算 机 
入 侵 者 ,还 要 保证 在 各 种 网 络 攻击 的 情况 下 业务 目标 得 以 实现 .关键 业务 功能 得 以 保持 。 信 
息 系统 安全 的 目标 就 是 确保 这 些 特性 不 被 破坏 。 


1.2.3 信息 安全 的 发 展 历史 


信息 安全 的 概念 与 技术 随 着 计算 机 、 通 信和 与 网 络 等 信息 技术 的 发 展 而 不 断 演化 动态 发 
展 ,人 类 对 信息 安全 的 认识 和 观念 上 的 发 展 经 历 了 通信 保密 阶段 .信息 安全 阶段 和 现在 的 信 
息 安全 保障 (Information Assurance,IA) 阶 段 。 早期 的 “通信 保密 ”阶段 以 通信 内 容 保 密 为 
主 , 中 期 的 “信息 安全 ”阶段 以 信息 自身 的 静态 防护 为 主 ,而 近期 的 “信息 保障 ”阶段 则 强调 动 
态 的 ,纵深 的 ,生命 周期 的 ,全 信息 系统 资产 的 信息 安全 。 
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1. 通信 保密 阶段 

从 古代 至 20 世纪 60 年 代 中 期 ,人 们 更 关心 信息 在 传输 中 的 安全 ,一 旦 信息 在 传输 过 程 
中 被 截获 , 则 信息 的 内 容 会 被 敌人 知晓 。 面 对 通信 过 程 中 存在 的 安全 问题 ,人 们 强调 的 主要 
是 信息 的 保密 性 ,对 安全 理论 和 技术 的 研究 也 侧重 于 密码 学 ,这 一 阶段 的 信息 安全 可 以 简单 
地 称 为 通信 安全 , 即 COMSEC(Communication Security)。 

最 初 ,信息 传递 一 般 由 可 靠 的 使 者 完成 ,为 了 保护 传输 中 的 信息 ,出 现 了 一 些 朴 素 的 信 
息 伪装 方法 。 北 宋 曾 公 亮 和 丁 度 合 著 的 ( 武 经 总 要 》 反 映 了 北宋 军队 对 军令 的 伪装 方法 : 先 
约定 40 条 常用 军令 ,然后 用 一 首 含有 40 个 不 同 字 的 五 言 律诗 , 令 其 中 每 个 字 对 应 一 条 军 
令 , 传 送 军令 时 , 写 一 封 普 通 的 书信 或 文件 ,在 其 中 的 关键 字 旁 加 印记 ,将 军 们 在 收 到 信和 后， 
找 出 其 中 加 印记 的 关键 字 , 然 后 根据 约定 的 40 字 诗 查 出 该 字 对 应 的 军令 。 在 古代 欧洲 , 代 
换 密码 和 隐 写 术 得 到 了 较 多 的 研究 和 使 用 。 德 国学 者 Trithemius 于 1518 年 出 版 的 (多 表 
加 密 》 反 映 了 当时 欧洲 在 代 换 密码 的 研究 上 已 经 从 单 表 .单字 符 代 换 发 展 到 了 多 表 、 多 字符 
代 换 。 

自 19 世纪 40 年 代 发 明 电 报 后 ,安全 通信 主要 面向 保护 电文 的 机 密 性 ,密码 技术 成 为 获 
得 机 密 性 的 核心 技术 。 在 两 次 世界 大 战 中 ,各 发 达 国 家 均 研制 了 自己 的 密码 算法 和 密码 机 ， 
如 在 第 二 次 世界 大 战 中 ,德国 使 用 了 一 台 名 为 Enigma 的 机 器 对 发 送 到 军事 部 门 的 消息 进 
行 加 密 ,此 外 还 有 日 本 的 PURPLE 密码 机 与 美国 的 ECM 密码 机 ,但 当时 的 密码 技术 本 身 
并 未 摆脱 主要 依靠 经 验 的 设计 方法 ,并且 巾 于 在 技术 上 没有 安全 的 密 钥 分 发 方法 ,在 两 次 世 
界 大 战 中 有 大 量 的 密码 通信 被 破解 ,以 上 密码 被 普遍 称 为 古典 密码 。1949 年 ,Shannon 发 
表 论 文 (保密 系 统 的 信息 理论 ), 用 信息 论 曾 述 保密 通信 的 原则 ,标志 着 密码 成 为 了 一 门 
科学 。 

2. 信息 安全 阶段 

计算 机 的 出 现 是 20 世纪 的 重大 事件 , 深 深 改变 了 人 类 处 理 和 使 用 信息 的 方法 。20 世 
纪 60 年 代 后 ,半导体 和 集成 电路 技术 的 飞速 发 展 进一步 推动 了 计算 机 硬件 的 发 展 ,计算 机 
和 网 络 技术 的 应 用 进入 了 实用 化 和 规模 化 阶段 。 此 时 ,对 计算 机 安全 的 威胁 扩展 到 恶意 代 
码 .非法 访问 、 脆 弱 口令 和 黑客 等 ,人 们 对 安全 的 关注 已 经 逐渐 扩展 为 确保 计算 机 系统 中 的 
硬件 ,软件 及 正在 处 理 , 存 储 和 传输 信息 的 机 密 性 、 完 整 性 、 可 用 性 、 认 证 ,不 可 否认 性 为 目标 
的 信息 安全 阶段 , 即 INFOSEC(Information Security) 。 

在 密码 学 方面 ,美国 斯 坦 福 大 学 的 Differ 和 Hellman 于 1976 年 发 表 了 论文 (密码 学 的 
新 方向 》, 指 出 不 仅 密 码 算法 可 以 公开 ,加 密 用 的 密 钥 也 可 以 公开 ,并 且 公 开 这 些 信息 不 会 影 
响 密码 系统 的 安全 性 ,为 公 钥 密 码 机 制 提供 了 理论 基础 ; 美国 国家 标准 与 技术 研究 所 于 
1977 年 通过 公开 征集 的 方法 制定 了 当时 应 用 急需 的 “数据 加 密 标准 (Data Encryption 
Standard,DES)”, 推 动 了 分 组 密码 的 发 展 。 这 两 个 事件 标志 着 现代 密码 学 的 诞生 。1978 
年 , 麻 省 理工 学 院 的 三 位 科学 家 Rivest、Shamir、Adleman 设计 了 著名 的 RSA 公 钥 密码 算 
法 ,使 数字 签名 和 基于 公 钥 的 认证 成 为 可 能 。20 世纪 80 年 代 后 ,学 术 界 提出 了 很 多 信息 安 
全 新 观点 和 新 方法 ,如 椭圆 曲线 密码 (Ellipse Curve Cryptography,ECC) 、 密 钥 托管 和 盲 签 
名 等 ,标准 化 组 织 和 产业 界 也 制定 了 大 量 算法 标准 和 实用 协议 ,如 数字 签名 标准 DSS 
(Digital Signature Standard) 因特网 安全 协议 IPsec(JInternet Protocol Security) 、 安 全套 接 
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字 层 SSL(Secure Socket Layer) ,此 外 形式 化 分 析 、 零 知识 证 明 等 都 取得 了 进展 。 世 界 各 国 
相继 推出 了 一 系列 安全 评估 准则 ,具有 代表 性 的 成 果 是 美国 的 可 信 计 算 机 系统 评估 准则 
TCSEC 以 及 加 拿 大 、 法 国 \ 德 国 \ 荷 兰 、 英 国美 国 国家 安全 局 于 20 世纪 90 年 代 中 期 提出 的 
信息 技术 安全 性 评估 通用 准则 (Common Criteria,CC)。 

3. 信息 安全 保障 阶段 

20 世纪 80 年 代 末 90 年 代 初 ,信息 安全 领域 发 生 了 巨大 变化 。1988 年 美国 发 生 了 英里 
斯 病毒 事件 , 1989 年 联邦 德国 破获 了 克格勃 利用 黑客 窃取 计算 机 网 上 秘密 案 。 为 此 ， 
1989 年 美国 和 西欧 国家 提出 了 动态 防护 的 概念 ,并 率先 建立 计算 机 应 急 反应 小 组 。 随 后 ， 
欧美 各 国 建立 大 量 应 急 组 织 , 并 成 立 “ 计 算 机 安全 应 急 国际 论坛 "?。1991 年 海湾 战争 后 ,在 
80 年 代 美 苏 、 中 军事 理论 界 提出 信息 战 命题 的 基础 上 ,美国 正式 启动 信息 战 和 网 络 战 的 研 
究 与 准备 ,引发 了 世界 范围 的 信息 战 军 备 竞赛 。 与 此 同时 ,社会 各 个 重要 领域 均 向 信息 化 迈 
进 , 由 此 带 来 的 针对 计算 机 信息 系统 的 攻击 事件 日 趋 频 繁 , 信 息 安 全 的 概念 已 经 不 再 局 限于 
对 信息 的 保护 。 为 了 保证 关键 信息 系统 的 安全 ,系统 的 安全 性 和 系统 的 可 靠 性 作为 安全 的 
重要 内 涵 引 起 人 们 的 高 度 重视 。 

国际 标准 化 组 织 (ISO) 于 1989 年 对 OSI 开放 系统 互 连 环境 的 安全 性 进行 了 深入 研究 ， 
在 此 基础 上 提出 了 OSI 安全 体系 结构 ,1989 年 ,该 标准 被 我 国 采用 ,ISO 7498-2 安全 体系 结 
构 由 5 类 安全 服务 (认证 访问 控制 .数据 保密 性 、 数 据 完 整 性 和 抗 抵抗 性 ) 及 用 来 支持 安全 
服务 的 8 种 安全 机 制 (加 密 机 制 .数字 签名 .访问 控制 机 制 .数据 完整 性 机 制 .认证 交换 .业务 
流 填充 .路 由 控制 和 公证 ) 构 成 。 

ISO 7498-2 体系 关注 的 是 静态 的 防护 技术 , 它 并 没有 考虑 到 信息 安全 动态 性 和 生命 周 
期 的 发 展 特 点 ,缺乏 检测 、 响 应 和 恢复 这 些 重要 的 环节 ,因而 无 法 满足 更 复杂 更 全 面 的 信息 
保障 的 要 求 。 

当 各 国 开始 大 力 发 展 和 建设 社会 信息 基础 设施 ,第 一 个 进入 信息 化 社会 的 美国 ,在 
1996 年 12 月 9 日 以 国防 部 的 名 义 发 表 了 DoD Directive S-3600. 1: Information 
Operation ,在 这 个 命令 中 ,正式 提出 了 信息 安全 保障 (Information Assurance,IA) 的 概念 : 
“通过 确保 信息 和 信息 系统 的 可 用 性 、 完 整 性 .可 验证 性 、 保 密 性 和 不 可 和 否认 性 来 保护 信息 系 
统 的 信息 作战 行动 ,包括 综合 利用 保护 、 检 测 和 响应 能 力 以 及 恢复 系统 的 功能 ”。 

1998 年 1 月 30 日 ,美国 国防 部 批准 发 布 了 (国防 部 信息 保障 纲要 》, 指 出 信息 保障 工作 
应 该 是 持续 不 断 的 , 它 贯 穿 于 平时 ` 危 机、 冲突 及 战争 期 间 的 全 时 域 ,信息 保障 不 仅 能 满足 和 
平时 期 的 国家 信息 安全 需求 ,而 且 能 支持 战争 时 期 的 国防 信息 安全 攻防 。 同 年 10 月 ,美国 
国家 安全 局 (NSA) 发 布 了 《信息 保障 技术 框架 》(Information Assurance Technical Frame， 
IATF) ,提出 了 信息 基础 设施 的 整套 安全 技术 保障 框架 ,定义 了 对 一 个 系统 进行 信息 保障 的 
过 程 以 及 该 系统 中 软 、 硬 件 的 安全 需求 。IATF 从 整体 .过 程 的 角度 看 待 信息 安全 问题 ,其 
代表 理论 是 “纵深 防护 战略 ”(Defense-in-Depth) ,依赖 人 员 ,技术 ,操作 三 个 因素 最 终 实现 信 
息 保障 目标 。 

(1) 人 (People): 人 是 信息 系统 的 拥有 者 .管理 者 和 使 用 者 ,是 信息 保障 体系 的 核心 ,是 
第 一 位 的 要 素 , 因 此 对 人 的 管理 在 信息 安全 保障 体系 中 显得 尤为 重要 ,安全 管理 包括 安全 意 
识 培养 .组 织 管理 ,技术 管理 ,操作 管理 等 多 个 方面 。 

(2) 技术 (Technology) : 技术 是 实现 信息 保障 的 具体 措施 和 手段 ,这 里 的 技术 已 经 不 
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单 是 以 防护 为 主 的 静态 技术 ,而 是 保护 (Protect)、 检 测 (Detect)、 响 应 (React) 和 恢复 
(Restore) 有 机 结合 的 动态 技术 体系 ,也 称 为 PDRR( 或 
PDR? ) 保 障 体系 ,如 图 1.5 所 示 。 

@ 保护 (Protect) : 指 采用 可 能 采取 的 手段 保障 信 
息 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 。 

@ 检测 (Detect) : 指 提 供 工具 检查 系统 可 能 存在 
的 黑客 攻击 、 白 领 犯罪 和 病毒 泛滥 等 脆弱 性 。 

@ 响应 (React): 指 对 危及 安全 的 事件 行为、 过 
程 及 时 做 出 响应 处 理 ,杜绝 危害 的 进一步 草 延 扩大 , 力 国人 开光 
求 系统 能 提供 正常 服务 。 

@ 恢复 (Restore) : 指 一 旦 系统 遭 到 破坏 ,尽快 恢复 系统 功能 ,尽早 提供 正常 的 服务 。 

PDRR 模型 把 信息 的 安全 保护 作为 基础 ,用 检测 手段 来 发 现 安全 漏洞 ,同时 采用 应 急 响 
应 措施 对 付 各 种 入 侵 , 在 系统 被 人 侵 后 .要 采取 相应 的 措施 将 系统 恢复 到 正常 状态 ,该 模型 
强调 自动 故障 恢复 能 力 。 

(3) 操作 (Operation) : 或 者 叫 运 行 , 操 作 将 人 和 技术 紧密 结合 在 一 起 ,涉及 风险 评估 、 
安全 监控 ,安全 审计 、 和 信 侵 检 测 ,响应 恢复 等 内 容 。 

信息 安全 保障 把 信息 系统 安全 从 技术 扩展 到 管理 .从 静态 扩展 到 动态 ,与 前 几 阶 段 的 信 
息 安 全 概念 和 技术 相 比 ,层次 更 高 ,涉及 面 更 广 , 提 供 的 安全 保障 更 全 面 。 

在 我 国 ,国家 信息 化 领导 小 组 于 2003 年 出 台 了 “国家 信息 化 领导 小 组 关于 加 强 信 息 安 
全 保障 工作 的 意见 ”, 是 我 国信 息 安全 领域 的 指导 性 和 纲领 性 文件 。 





1.3 信息 系统 安全 防护 基本 原则 


计算 机 信息 系统 面临 的 安全 威胁 多 种 多 样 , 安 全 威胁 和 安全 事件 的 原因 非常 复杂 。 而 
且 , 随 着 技术 的 进步 以 及 应 用 的 普及 ,新 的 安全 威胁 不 断 产生 。 尽 管 没 有 一 种 完美 的 ,一 劳 
永 逸 的 安全 保护 方法 ,但 是 ,如 果 在 设计 之 初 就 遵从 一 些 合理 的 原则 ,那么 相应 信息 系统 的 
安全 性 就 更 加 有 保障 。 以 下 一 些 安全 防护 基本 原则 经 过 长 时 间 的 检验 并 得 到 了 广泛 认同 ， 
可 以 视 为 保证 信息 系统 安全 的 一 般 性 方法 (或 称 为 原则 ) 。 

1. 整体 性 原则 

整体 性 原则 是 指 从 整体 上 构思 和 设计 信息 系统 的 安全 框架 ,合理 选择 和 布局 信息 安全 
的 技术 组 件 ,使 它们 之 间 相互 关联 ,相互 补充 ,达到 信息 系统 整体 安全 的 目标 。 这 就 好 比 用 
木 桶 装 水 ,一 只 木 桶 装 水 的 容量 不 是 取决 于 最 长 的 木板 而 是 取决 于 最 短 的 木板 ,不 仅 取决 于 
木板 的 长 度 , 还 取决 于 木板 之 间 的 结合 是 否 紧密 ,以 及 这 个 木 桶 是 否 有 坚实 的 底板 ,这 就 是 
著名 的 “ 木 桶 ?理论 ,计算 机 信息 系统 安全 的 研究 应 该 符合 这 一 富 含 哲理 的 “ 木 桶 ”理论 。 

首先 ,对 于 一 个 庞大 而 复杂 的 信息 系统 ,攻击 者 必然 从 系统 中 最 薄弱 的 地 方 进行 攻击 。 
因此 ,充分 .全 面 、 完 整地 对 系统 的 安全 漏洞 和 安全 威胁 进行 分 析 \` 评 估 和 检测 (包括 模拟 攻 
击 ) ,是 设计 安全 系统 的 必要 前 提 条 件 。 安 全 机 制 和 安全 服务 设计 的 首要 目的 是 防止 最 常用 
的 攻击 手段 ,其 根本 目标 是 提高 整个 系统 的 “安全 最 低 点 ”的 安全 性 能 。 
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其 次 ,信息 安全 应 该 建立 在 坚实 的 安全 理论 .方法 和 技术 的 基础 之 上 ,这 是 信息 安全 的 
底 ,通过 深入 分 析 信息 系统 的 构成 分 析 信息 安全 的 本 质 和 关键 要 素 , 信 息 安全 的 底 是 密码 
技术 .访问 控制 技术 .安全 操作 系统 、 网 络 安全 协议 等 ,它们 构成 了 信息 安全 的 基础 。 需 要 花 
大 力气 研究 信息 安全 的 这 些 基础 .核心 和 关键 技术 ,并 在 设计 一 个 信息 安全 系统 时 ,按照 安 
全 策略 目标 设计 和 选择 这 些 底部 组 件 , 使 需要 保护 的 信息 安全 系统 建立 在 可 靠 、 牢 固 的 安全 
基础 之 上 。 

木 桶 能 否 有 效 地 容 水 ,除了 需要 坚实 的 底板 、 相 同 高 度 的 侧 板 ,还 取决 于 木板 之 间 的 颖 
际 ,对 于 一 个 安全 防护 体系 而 言 ,安全 产品 之 间 的 不 协同 工作 犹如 木板 之 间 的 缝隙 ,将 使 木 
桶 无 法 容 水。 不 同 产品 之 间 的 有 效 协 作 和 联动 犹如 木板 之 间 的 桶 逢 ,能 把 一 堆 独 立 的 木 条 
联合 起 来 , 紧 紧 地 围 成 一 圈 ,消除 木 条 之 间 的 缝隙 ,使 木 条 之 间 形 成 协作 关系 ,达成 一 个 共同 
的 目标 。 

2. 分 层 性 原则 

没有 一 种 安全 技术 牢 不 可 破 ,只 要 给 予 攻击 者 足够 的 时 间 和 资源 ,任何 安全 措施 都 可 能 
被 破解 ,因此 ,保障 信息 系统 安全 不 能 依赖 单一 的 保护 机 制 。 这 就 好 比 确保 保存 在 银行 保险 
箱 中 的 财物 安全 需要 多 层 安全 措施 ,例如 保险 箱 自 身 有 钥 是 和 锁具 ,保险 箱 置 于 保险 库 中 ， 
而 保险 库 的 位 置 处 于 普通 人 难以 到 达 的 银行 建筑 的 中 心 位 置 或 地 下 , 仅 有 通过 授权 的 人 才 
能 进入 保险 库 , 通 向 保险 库 的 道路 有 限 且 又 有 监控 系统 ,银行 大 厅 有 警卫 巡视 且 有 联网 报警 
系统 。 通 过 不 同 层次 和 级 别 的 安全 措施 共同 保证 了 所 存 财物 的 安全 。 同 样 在 信息 系统 中 只 
有 构建 良好 分 层 的 安全 措施 才能 够 保证 信息 的 安全 。 

在 如 图 1.6 所 示 的 信息 安全 分 层 保护 中 ,如 果 一 个 外 部 入 侵 者 意图 获取 最 内 层 主机 上 
存储 的 信息 ,必须 首先 想方设法 绕 过 外 部 的 网 络 防 火 墙 , 突 破 网 络 人 侵 检测 系统 的 识别 和 检 
测 , 登 录 组 织 内 部 网 络 , 此 时 ,入 侵 者 面 对 的 是 组 织 内 部 的 实施 网 络 访问 控制 的 内 部 防火 墙 ， 










网 络 防火 墙 


网 络 入 侵 检测 系统 








网 络 访问 控制 (内 部 防火 墙 ) 





主机 身份 认证 、 访 问 





图 1.6 信息 系统 的 分 层 保护 措施 
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只 有 在 攻破 内 部 防火 墙 或 采用 各 种 方法 提升 权限 后 才能 进行 下 一 步 的 入 侵 ,在 登录 主机 后 ， 
入 侵 者 将 面 对 基 于 主机 的 和 人 侵 检测 系统 ,而 他 也 必须 想 办 法 躲 过 检测 ,最 后 ,如 果 主 机 经 过 
良好 配置 ,通常 对 存储 的 数据 具有 强制 性 的 访问 控制 和 权限 控制 ,同时 对 用 户 的 访问 行为 进 
行 记 录 并 生成 日 志文 件 供 系 统管 理 员 进行 审计 ,那么 人 侵 者 必须 将 这 些 控制 措施 一 一 突破 
才能 够 顺利 达到 预先 设 定 的 目标 。 即 使 人 侵 者 突破 了 某 一 层 , 管 理 员 和 安全 人 员 仍 有 可 能 
在 下 一 层 安全 措施 上 拦截 和 人 侵 者 。 

不 同 防护 层次 也 会 使 整个 安全 系统 存在 防护 元 余 , 这 样 即 使 某 一 层 安全 措施 出 现 单 点 
失效 ,也 不 会 对 安全 性 产生 严重 影响 。 因 而 ,提高 安全 层次 的 方法 不 仅 包括 增强 安全 层次 的 
数量 ,也 包括 在 单一 安全 层次 上 采取 多 种 不 同 的 安全 技术 ,协同 进行 安全 防范 。 

在 使 用 分 层 安全 时 需要 注意 ,不 同 的 层次 之 间 需 要 协调 工作 ,这 样 ,一 层 的 工作 不 至 于 
影响 其 他 层次 的 正常 功能 。 安 全 人 员 需 要 深刻 理解 组 织 的 安全 目标 ,详细 划分 每 一 个 安全 
层次 所 提供 的 保护 级 别 和 所 起 到 的 作用 ,以 及 层次 之 间 的 协调 和 兼容 。 

3. 最 小 特权 原则 

在 很 多 系统 中 都 有 一 个 系统 超级 用 户 或 系统 管理 员 ,拥有 对 系统 全 部 资源 的 存 取 和 分 
配 权 ,所 以 它 的 安全 至 关 重 要 ,如 果 不 加 以 限制 ,有 可 能 由 于 超级 用 户 的 恶意 行为 .口令 泄 
密 、 偶 然 破坏 等 对 系统 造成 不 可 估量 的 损失 和 破坏 。 因 此 有 必要 对 系统 超级 用 户 的 权限 加 
以 限制 ,实现 权限 最 小 化 原则 。 

最 小 特权 (Least Privilege) 的 思想 是 系统 不 应 赋予 用 户 超过 其 执行 任务 所 需 特权 以 外 
的 特权 ,或 者 说 仅 给 用 户 赋予 必 不 可 少 的 特权 ,最 小 特权 原则 一 方面 赋予 主体 “ 必 不 可 少 ” 的 
特权 以 保证 用 户 能 完成 承担 的 任务 或 操作 , 男 一 方面 它 仅 给 用 户 “ 必 不 可 少 ” 的 特权 从 而 能 
限制 用 户 所 能 进行 的 操作 。 同 时 为 了 保证 系统 的 安全 性 ,不 应 对 某 个 用 户 赋予 一 个 以 上 职 
责 , 而 一 般 系统 中 的 超级 用 户 通常 肩负 系统 管理 ,审计 等 多 项 职责 ,因而 需要 将 超级 用 户 的 
特权 进行 细 粒 度 划 分 ,分 别 授予 不 同 的 管理 员 , 并 使 其 只 具有 完成 任务 所 需 的 特权 ,从 而 减 
少 由 于 特权 用 户口 令 丢失 或 错误 软件 .恶意 软件 . 误 操作 所 引起 的 损失 。 





1.4 信息 系统 安全 技术 体系 


无 论 在 单机 系统 、 局 域 网 还 是 广域网 系统 中 ,都 存在 着 自然 和 人 为 等 诸多 因素 的 脆弱 性 
和 潜在 威胁 ,因此 计算 机 信息 系统 的 安全 措施 应 该 能 全 方位 地 针对 各 种 不 同 的 威胁 和 脆弱 
性 ,这 样 才能 确保 信息 的 保密 性 、 完 整 性 和 可 用 性 。 总 之 ,一 切 影响 计算 机 系统 安全 的 因素 
和 保障 计算 机 信息 安全 的 措施 都 是 计算 机 系统 安全 技术 的 研究 内 容 , 信 息 系统 安全 是 一 门 
涉及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技术 、 信 息 安全 技术 .应 用 数学 .数论 .信息 论 等 
多 种 学 科 的 综合 性 学 科 。 

计算 机 网 络 环境 下 的 信息 系统 安全 可 以 划分 为 5 个 层次 , 即 物 理 安全 ,网络 安 全 、 操 作 
系统 安全 ,数据库 安 全 ,应 用 系统 安全 ,如 图 1.7 所 示 。 最 底层 的 基础 安全 技术 包括 密码 技 
术 、 身 份 认证 技术 、 访 问 控制 技术 ,是 各 层 具体 安全 技术 的 基础 。 

密码 技术 主要 包括 密码 算法 和 密码 学 的 应 用 ,具体 包括 对 程 密码 算法 、 公 钥 密 码 体制 、 
数字 签名 、 消 息 认证 、 密 钥 管 理 等 .它们 在 不 同 的 场合 分 别 用 于 提供 机 密 性 、 完 整 性 、 不 可 否 
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认 性 等 ,是 构建 信息 系统 安全 的 基本 要 素 。 

身份 认证 和 访问 控制 是 最 基本 的 安全 机 制 ,身份 认证 的 主要 目的 是 确定 用 户 的 合法 性 ， 
阻止 非法 用 户 访问 系统 ; 访问 控制 对 用 户 提 出 的 资源 访问 请 求 加 以 控制 ,其 目的 是 为 了 保 
证 网 络 资源 受 控 、 合 法 地 使 用 。 这 两 种 基本 安全 机 制 可 以 用 在 信息 系统 的 各 组 成 部 分 ,确保 
硬件 .操作 系统 、 数 据 库 、 应 用 系统 的 安全 。 





















































应 用 系统 安全 技术 
安全 编程 恶意 代码 检测 与 防御 Web 应 用 安全 
数据 库 安全 技术 
安全 性 控制 完整 性 控制 并 发 控制 恢复 控制 
操作 系统 安全 技术 
内 存 保护 用 户 标志 与 识别 授权 控制 审计 技术 
网 络 安全 技术 
防火 墙 技术 漏洞 扫描 技术 | 入 侵 检 测 技 术 防 病 毒 技术 
物理 安全 技术 
环境 安全 设备 安全 介质 安全 
基础 安全 技术 
密码 技术 身份 认证 技术 访问 控制 技术 

















图 1.7 计算 机 网 络 环境 下 的 信息 系统 层次 结构 


(1) 物理 安全 。 物 理 安全 (Physical Security) 是 为 了 应 对 自然 灾害 .设备 自身 的 缺陷 、 
设备 的 自然 损坏 、 环 境 干扰 ,人 为 的 窃取 和 破坏 ,而 对 计算 机 设备 .设施 (包括 机 房 建筑 、 供 
电 、 空 调 等 ) 环境 、 人 员 、 系 统 等 采取 的 安全 措施 。 

(2) 操作 系统 安全 。 操 作 系 统 是 信息 系统 的 核心 组 成 部 分 ,为 整个 计算 机 信息 系统 提 
供 底层 (系统 级 ) 的 安全 保障 。 操 作 系统 的 安全 机 制 包括 存储 保护 ,用 户 认 证 和 访问 控制 技 

(3) 计算 机 网 络 安全 。 主 要 包括 网 络 安 全 框架 、 防 火 墙 和 入 侵 检测 系统 、 网 络 隔离 技 
术 、 网 络 安全 协议 ,以 及 公 钥 基础 设施 PKL/PMI 等 内 容 。 网 络 安全 有 专门 的 理论 和 技术 ， 
相对 独立 ,有 很 多 专门 介绍 网 络 安全 的 书籍 ,本 书 不 对 这 部 分 内 容 作 详细 介绍 。 

(4) 数据 库 系统 安全 。 数 据 库 中 存放 了 大 量 关键 数据 ,需要 加 以 保护 ,主要 借助 于 数据 
库 管理 系统 提供 的 安全 机 制 来 实现 保护 ,具体 安全 机 制 包括 身份 认证 ,访问 控制 .审计 、 加 
密 、 备 份 和 恢复 等 。 

(5) 应 用 系统 安全 。 主 要 包括 病毒 .木马 .蠕虫 等 恶意 程序 攻击 的 原理 及 防范 措施 ; 应 
用 系统 自身 因 编程 不 当 存在 缓冲 区 漏洞 .格式 化 字符 串 漏洞 等 ,如 何 开发 安全 应 用 系统 的 编 
程 方法 、 如 何 确保 Web 应 用 系统 安全 。 

此 外 ,在 PDRR 模型 中 ,响应 和 恢复 是 两 个 重要 的 环节 ,因此 本 书 还 介绍 计算 机 系统 应 
急 响应 与 灾难 恢复 的 概念 和 内 容 。 安 全 风险 评估 也 是 加 强 信息 安全 保障 体系 建设 和 管理 的 
关键 环节 ,本 书 介绍 了 安全 评估 的 国内 外 标准 ,评估 的 主要 方法 .工具 过程。 
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1.5 小 结 


信息 化 是 一 把 双 刃 剑 , 信 息 化 程度 越 高 ,信息 安全 威胁 带 来 的 危害 也 就 越 大 。 由 于 信息 
系统 自身 的 脆弱 性 、 网 络 黑客 的 存在 使 得 信息 安全 攻击 事件 不 可 避免 .层出不穷 ,信息 安全 
形势 严峻 ,网 络 空间 已 经 成 为 继 陆 , 海 . 空 ,天 之 后 的 新 的 战场 空间 。 信 息 系统 安全 是 一 门 涉 
及 多 学 科 的 综合 性 交叉 学 科 , 从 广义 上 说 ,凡是 涉及 到 信息 的 机 密 性 、 完 整 性 .可 用 人 性、 真实 
性 和 可 控 性 的 相关 技术 和 理论 都 是 信息 系统 安全 的 研究 领域 。 信 息 系 统 安全 概念 的 发 展 经 
历 了 保密 通信 、 计 算 机 安全 、 网 络 安全 阶段 , 现 已 进入 信息 安全 保障 阶段 。 确 保 信 息 系统 安 
全 需要 遵循 整体 性 、 分 层 性 .最 小 特权 原则 。 信 息 系统 安全 需要 确保 信息 系统 各 组 成 层次 的 
安全 ,主要 内 容 包括 物 理 安全 、 操 作 系统 安全 \ 数 据 库 安 全 \ 应 用 系统 安全 等 。 


习 题 


一 、 填空 题 
1. 信息 安全 的 基本 安全 目标 包括 和 
2. 消息 算 改 属于 攻击 。 

3. 信息 系统 安全 包括 4 个 层面 ,分 别 是 
4 

5 








和 

.信息 安全 概念 的 发 展 经 历 了 和 三 个 阶段 。 
. PDRR 模型 各 部 分 含义 分 别 为 和 
二 、 选 择 题 
1. 信息 安全 的 基本 属性 是 ( Ys 

A. 机 密 性 B. 可 用 性 C. 完整 性 D. 上 面 三 项 都 是 
2. 从 攻击 方式 区 分 攻击 类 型 ,可 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻击 难以 ( ) , 然 

而 ( ) 这 些 攻击 是 可 行 的 ; 主动 攻击 难以 ( ) ,然而 ( ) 这 些 攻击 是 可 行 的 。 








A. 预防 ,检测 ,预防 ,检测 B. 检测 ,预防 ,检测 ,预防 

C. 检测 ,预防 ,预防 ,检测 D. 上 面 3 项 都 不 是 
3. 从 安全 属性 对 各 种 网 络 攻击 进行 分 类 , 阻 断 攻 击 是 针对 ( ) 的 攻击 。 

A. 机 密 性 B. 可 用 性 C. 完整 性 D. 不 可 否认 性 
4. 从 安全 属性 对 各 种 攻击 进行 分 类 ,截获 攻击 是 针对 ( ) 的 攻击 。 

A. 机 密 性 B. 可 用 性 C. 完整 性 D. 上 面 三 项 都 是 
5. 拒绝 服务 攻击 的 后 果 是 ( ”)。 

A. 信息 不 可 用 B. 系统 宕 机 

C. 应 用 程序 不 可 用 D. 上 面 三 项 都 是 
6. 攻击 者 用 传输 数据 来 冲击 网 络 接口 ,使 服务 器 过 于 繁忙 以 至 于 不 能 应 答 请 求 的 攻击 

方式 是 ( 由 


A. 拒绝 服务 攻击 B. 会 话 劫持 
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Ts 


C. 信号 包 探 测 程序 攻击 D. 地 址 欺骗 攻击 
攻击 者 截获 并 记录 了 从 A 到 B 的 数据 ,然后 又 从 早 些 时 候 所 截获 的 数据 中 提取 出 


信息 重新 发 往 B, 称 为 ( 全 


有 





A. 中 间 人 攻击 B. 强力 攻击 C. 重 放 攻 击 D. 字典 攻击 

. 定期 对 系统 和 数据 进行 备份 ,在 发 生 灾难 时 进行 恢复 ,该 机 制 是 为 了 满足 信息 安全 
) 属 性 。 
A. 机 密 性 B. 可 用 性 C. 完整 性 D. 不 可 否认 性 


. 信息 安全 的 木 桶 原理 是 指 ( i 


A. 整体 安全 水 平 由 安全 级 别 最 低 的 部 分 决定 

B. 整体 安全 水 平 由 安全 级 别 最 高 的 部 分 决定 

C. 整体 安全 水 平 由 各 组 成 部 分 的 安全 级 别 平均 值 决 定 

D. 上 面 三 项 都 不 对 

DoS 破坏 了 信息 的 ( )o 

A. 机 密 性 B. 可 用 性 C. 完整 性 D. 不 可 否认 性 


、 简 答题 

.计算 机 信息 系统 的 脆弱 性 在 哪里 ? 

. 简 述 主动 攻击 与 被 动 攻击 的 特点 ,并 列举 主动 攻击 与 被 动 攻击 的 方式 。 

.信息 系统 的 安全 目标 有 哪些 ,如 何 理解 ? 

.信息 安全 概念 发 展 的 主要 阶段 有 哪些 ,各 阶段 中 主要 的 安全 技术 有 哪些 ? 

. 什么 是 信息 系统 安全 的 “ 木 桶 原理 ,如何 理解 ? 

. 查阅 资料 ,进一步 了 解 PDR、PPDR、PDRR 以 及 PPDRR 模型 中 组 成 部 分 的 含义 ,这 


些 模 型 的 发 展 说 明了 什么 , 写 一 篇 读书 报告 说 明 。 


我 国正 逐步 形成 一 个 完善 的 安全 保障 体系 ,成 立 了 国家 计算 机 网 络 应 急 处 理 协调 中 


心 (CNCERT,http://www. cert. org. cn)、 国 家 计算 机 病毒 应 急 处 理 中 心 (http://www. 
antiviruschina. org. cn) 国家 计算 机 网 络 入 侵 防 范 中 心 (http://www. nipc. org. cn) ,信息 
安全 国家 重点 实验 室 网 站 (http://www. is. ac. cn)。 请 访问 以 上 网 站 ,了 解 最 新 的 信息 安 
全 研究 动态 和 研究 成 果 。 
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随 着 计算 机 的 广泛 应 用 ,大 量 信息 以 数字 的 形式 存放 在 计算 机 系统 中 ,并 通过 公共 信道 
传输 。 计 算 机 系统 和 公共 信道 在 不 设防 的 情况 下 是 很 脆弱 的 ,面临 信息 窃取 、 信 息 自 改 、 信 
息 重 放 、 信 息 抵赖 等 安全 问题 ,解决 这 些 安全 问题 的 基础 是 现代 密码 学 。 

密码 学 是 关于 加 密 和 解密 变换 的 一 门 科学 ,是 信息 安全 理论 与 技术 的 基石 ,在 信息 安全 
领域 发 挥 着 中 流 艳 柱 的 作用 。 通 过 对 信息 进行 加 密 将 可 读 的 信息 变换 成 不 可 理解 的 乱码 ， 
从 而 起 到 保护 信息 的 作用 ; 密码 技术 还 能 够 提供 完整 性 校 验 , 即 能 检测 收 到 的 消息 是 否 来 
自 可 信和 的 源 点 、 是 否 被 自 改 ; 基于 密码 体制 的 数字 签名 具有 抗 抵赖 的 功能 。 

本 章 讨论 密码 学 基础 ,2. 1 节 介 绍 密码 学 的 起 源 ; 2. 2 节 介 绍 密码 学 的 基本 概念 ,包括 
密码 体制 的 组 成 ,分 类 以 及 设计 原则 等 ; 2. 3 节 介 绍 古 典 密码 体制 ,包括 代 换 密码 和 置换 密 
码 的 经 典 算法 ; 2.4 节 介绍 对 称 密码 体制 ,对 称 密码 主要 提供 机 密 性 ,当前 主要 包括 分 组 密 
码 和 序列 密码 (也 称 流 密码 ) ,本 节 主 要 介绍 在 信息 加 密 技术 发 展 史 上 具有 里 程 碑 意 义 的 对 
称 分 组 密码 DES 算法 ; 2.5 节 以 著名 的 RSA 算法 为 例 介 绍 公 钥 密 码 体 制 ; 2.6 节 介 绍 用 于 
消息 完整 性 校 验 的 消息 认证 ; 2.7 节 主 要 介绍 用 于 防止 信息 抵赖 的 数字 签名 技术 ; 2. 8 节 
介绍 对 公 钥 进行 有 效 管理 以 及 提供 通用 性 安全 服务 的 公 钥 基础 设施 技术 。 


2.1 密码 学 的 发 展 历 史 


密码 学 的 发 展 历史 极为 久远 ,其 起 源 可 以 追溯 到 几 千 年 前 的 埃及 、 巴 比 伦 和 古 希 腊 ,或 
许 是 由 于 最 早 的 密码 起 源 于 古 希 腊 , 密 码 学 的 英文 单词 cryptology 一 词 来 源 于 希腊 语 ， 
crypto 是 隐藏 或 秘密 的 意思 ,logo 是 单词 的 意思 ,graphy 是 书写 的 意思 ,cryptology 就 是 
“如 何 秘密 地 书写 单词 ”。 从 传统 意义 上 来 说 ,密码 学 主要 研究 如 何 把 信息 转换 成 一 种 隐 项 
的 方式 从 而 阻止 其 他 人 得 到 它 。 密 码 学 提供 的 最 基础 的 服务 就 是 将 信息 表述 为 不 可 读 内 
容 , 使 通信 者 能 够 相互 发 送 消息 同时 避免 其 他 人 员 读 取信 息 内 容 , 随 着 密码 学 的 发 展 , 它 还 
提供 了 身份 认证 、 完 整 性 校 验 .数字 签名 等 安全 服务 。 

从 远古 时 期 到 1949 年 ,这 段 时 间 是 科学 密码 学 的 前 夜 时 期 ,这 段 时 间 的 密码 学 更 像 一 
门 艺 术 ,密码 专家 们 通常 赁 直觉 和 信念 进行 密码 分 析 和 设计 ,而 不 是 依靠 严格 的 推理 证 明 ， 
因此 这 个 时 期 的 密码 通信 还 不 能 称 为 一 门 科学 ,直到 1949 年 ,香农 发 表 了 一 篇 题 为 (保密 系 
统 的 信息 理论 ) 的 著名 论文 ,在 该 论文 中 首次 将 信息 论 引入 了 密码 ,用 数学 方法 对 信息 源 、 密 
钥 、 密 文 等 进行 了 数学 描述 和 定量 分 析 ,提出 了 通用 的 保密 通信 模型 ,将 密码 置 于 坚实 的 数 
学 基础 之 上 ,从 而 把 已 有 数 千年 历史 的 密码 学 推 向 科学 的 轨道 ,标志 着 密码 学 作为 一 门 学 科 
的 形成 。 

受 历史 的 限制 ,20 世纪 70 年 代 以 前 ,密码 学 研究 基本 上 是 秘密 进行 的 ,密码 体制 及 其 
设计 细节 都 是 保密 的 ,主要 应 用 局 限于 军事 外交、 情报 政府 等 重要 部 门 。 直 到 1976 年 美 
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国 密码 学 家 W. Diffie 和 M. Hellman 发 表 论 文 (密码 学 的 新 方向 》, 该 论文 提出 了 一 个 声 新 
的 思想 : 不 仅 加 密 用 的 算法 可 以 公开 甚至 加 密 用 的 密 钥 也 可 以 公开 ,并 且 并 不 会 因为 公开 
这 些 信息 而 使 信息 的 保密 性 降低 ,这 就 是 著名 的 公 钥 密码 体制 的 思想 。 从 1976 年 开始 直到 
现在 是 密码 学 的 蓬勃 发 展 时 期 ,密码 研究 从 秘密 走向 公开 ,并 逐渐 在 民用 领域 得 到 广泛 应 
用 ,从 而 为 其 注入 了 强大 的 生命 力 , 现 代 密 码 学 发 展 史上 的 主要 成 果 如 下 。 

1. DES 算法 

1977 年 美国 国家 标准 局 颁布 了 数据 加 密 标 准 DES,DES 是 最 早 受到 广泛 应 用 和 具有 
深远 影响 的 对 称 分 组 加 密 算法 ,用 于 非 国家 保密 机 关 。 该 算法 的 加 、 解 密 算 法 完全 公开 , 算 
法 的 安全 性 基于 密 钥 的 保密 性 ,其 设计 充分 体现 了 香农 信息 保密 理论 所 阐述 的 密码 设计 思 
想 , 标 志 着 密码 设计 和 分 析 达 到 了 新 的 水 平 。 该 算法 使 用 了 近 20 年 ,是 密码 学 上 的 一 个 
创举 。 

2. RSA 算法 

1978 年 ,美国 麻 省 理工 学 院 三 位 年 轻 的 数学 家 R. L. Rivest、A. Shamir 和 L. Adleman 
提出 了 RSA 公 钥 密码 体制 , 它 是 第 一 个 成 熟 的 、 迄 今 为 止 理论 上 最 为 成 功 的 公 钥 密码 体制 。 
RSA 算法 的 安全 性 基于 数论 中 的 大 整数 因子 分 解 的 难题 ,由 于 该 难题 至 今 没 有 有 效 的 解决 
算法 ,这 使 得 该 加 密 机 制 具 有 较 高 的 安全 性 。 

3. DSS 算法 

数字 签名 就 是 数字 形式 的 签名 盖 章 ,是 证 明 当 事 者 身份 和 确保 数据 真实 性 的 一 种 重要 
措施 ,用 于 防范 通信 双方 的 欺骗 。 没 有 数字 签名 ,诸如 电子 政务 .电子 金融 .电子 商务 等 系统 
是 不 能 实际 使 用 的 。 数 字 签 名 一 般 利 用 公 钥 密码 体制 进行 ,其 安全 性 取决 于 密码 体制 的 安 
全 程度 ,1994 年 美国 公布 了 数字 签名 标准 DSS(Digital Signature Standard) ,由 于 美国 在 科 
学 技术 方面 的 领先 地 位 ,DSS 实际 上 已 经 成 为 国际 标准 。 

4. AES 算法 

DES 算法 在 使 用 近 20 年 后 ,由 于 密 钥 太 短 ,抵制 不 住 穷 举 攻击 ,其 安全 性 已 无 法 保证 。 
1995 年 美国 国家 标准 与 技术 研究 所 公开 征集 用 于 取代 DES 的 高 级 加 密 标准 AES 
(Advanced Encryption Standard) ,最终 在 2001 年 10 月 ,正式 采纳 比利时 密码 学 家 Joan 
Daemen 和 Vincent Rijmen 提出 的 Rijndael 算法 作为 AES 算法 ,该 算法 是 分 组 长 度 和 密 钥 
长 度 均 可 变 的 多 轮 和 迭代 型 加 密 算法 , 集 安全 性 效率、 可 实现 性 及 灵活 性 于 一 体 。2002 年 许 
多 国家 标准 化 组 织 都 采纳 AES 作为 加 密 标 准 。 为 了 和 国际 接轨 ,我 国 也 在 某 些 商 业 领域 中 
使 用 AES。 

进入 21 世纪 ,各 种 新 领域 的 密码 学 也 广泛 开展 , 随 着 量子 计算 机 研究 热潮 的 兴起 ,世界 
各 国 对 量子 密码 的 研究 也 广泛 开展 。 量 子 密码 具有 可 证 明 的 安全 性 ,同时 还 能 对 窃听 行为 
方便 地 进行 检测 ,这 些 优势 使 得 量子 密码 引起 了 国际 密码 学 界 的 高 度 重视 。 另 外 混沌 是 一 
种 复杂 的 非 线性 非 平衡 动力 学 过 程 , 由 于 混沌 序列 是 一 种 具有 和 良好 随机 性 的 非 线性 序列 ,有 
可 能 构成 新 的 序列 密码 ,因此 世界 各 国 的 密码 学 者 对 混沌 密码 寄予 了 很 大 的 期 望 。 还 有 生 
物 信息 技术 的 发 展 也 推动 着 生物 芯片 .生物 计算 机 和 基于 生物 信息 特征 的 生物 密码 的 研究 。 
量子 密码 ,混沌 密码 和 生物 密码 的 出 现 将 把 我 们 带 入 新 的 密码 学 世界 。 
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2.2 密码 学 基本 概念 
2.2.1 密码 体制 的 组 成 


密码 学 (Cryptology) 包 括 密码 编码 学 (Cryptography) 和 密码 分 析 学 (Cryptanalysis) 两 
个 分 支 。 研 究 各 种 加 密 方 案 的 学 科 称 为 密码 编码 学 ,加 密 方案 称 为 密码 系统 或 密码 体制 ; 
研究 破译 密码 的 学 科 称 为 密码 分 析 学 。 密 码 编码 学 和 密码 分 析 学 既 相 互 对 立 又 相互 依存 ， 
密码 学 就 是 对 这 两 个 分 支 进 行 综合 分 析 、 系 统 研究 的 科学 。 

加 密 的 基本 思想 就 是 对 信息 进行 伪装 ,使 非法 接 入 者 无 法 理解 信息 的 真正 含义 。 这 里 
伪装 就 是 对 信息 实施 一 组 可 逆 的 数学 变换 ,我 们 称 伪装 前 的 原始 信息 为 明文 (Plaintext) , 伪 
装 后 的 信息 为 密 文 (Ciphertext) ,伪装 的 过 程 为 加 密 (Encryption) ,去 掉 伪 装 恢复 消息 本 来 
面目 的 过 程 称 为 解密 (Decryption) ,加 密 和 人 解密 的 过 程 要 在 密 钥 (Key) 的 控制 下 进行 , 密 钥 
是 只 被 通信 双方 所 掌握 的 关键 信息 。 因 此 ,一 个 密码 系统 由 以 下 5 部 分 组 成 。 

(1) 明文 空间 (MD) : 全 体 明文 的 集合 。 

(2) 密 文 空间 (C) : 全 体 密 文 的 集合 。 

(3) 加 密 算法 (E): 一 组 由 M 到 C 的 变换 。 

(4) 解密 算法 (D): 一 组 由 C 到 M 的 变换 。 

(5) 密 钥 空间 (K) : 全 体 密 钥 的 集合 ,其 中 ,加 密 密 钥 用 K. 表示 ,解密 密 钥 用 Ks 表示 。 

加 密 就 是 明文 在 加 密 密 钥 和 加 密 算法 的 共同 作用 下 生成 密 文 的 过 程 : C=E(M,K.)， 
解密 就 是 密 文 在 解密 密 钥 和 解密 算法 的 作用 下 恢复 成 明文 的 过 程 : M 王 DCC,Ku) ,如 图 2.1 
所 示 。 


密 钥 K。 密 钥 Ka 
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明文 民力 密 算 法 | 密 文 C [加密 算 法 D 于 六 























图 2.1 加 密 和 解密 过 程 


荷兰 人 Kerckhoffs 在 1883 年 指出 ,密码 算法 的 安全 性 必须 建立 在 密 钥 保 密 的 基础 上 ， 
即使 敌手 知道 算法 , 若 不 掌握 特定 密 钥 也 难以 破译 密码 算法 ,这 就 是 著名 的 Kerckhoffs 准 
则 。 因 此 ,数据 的 安全 应 该 基于 密 钥 的 保密 而 不 是 算法 的 保密 ,也 就 是 说 密码 体制 中 的 加 、 
解密 算法 是 公开 的 ,可 供 所 有 人 使 用 、 研 究 , 只 有 能 经 受 得 住 敌手 充分 研究 而 找 不 出 破绽 的 
算法 才 是 安全 的 算法 ,这 就 是 算法 设计 公开 的 原则 ,其 目的 是 使 算法 设计 完备 .没有 缺陷 。 
美国 在 制定 数据 加 密 标准 DES 算法 时 就 采用 公开 征集 公开 评价 的 原则 ,实践 证 明 DES 算 
法 是 安全 的 。 当 然 , 密 码 设计 公开 的 原则 并 不 要 求 所 有 密码 在 应 用 时 都 要 公开 加 、 解 密 算 
法 ,例如 国家 的 军政 核心 密码 一 般 都 不 公开 其 加 、 解 密 算法 ,但 这 些 密码 在 设计 时 仍然 应 坚 
持 算法 公开 的 原则 ,只 不 过 是 只 对 内 部 专业 设计 与 分 析 人 员 公 开 ,而 不 对 外 公开 。 在 公开 设 
计 原 则 下 是 安全 的 密码 体制 ,在 实际 使 用 时 对 算法 保密 ,将 会 更 安全 ,这 是 核心 密码 系统 设 
计 和 使 用 的 正确 路 线 。 而 对 于 商业 密码 则 应 当 坚持 公开 征集 公开 评价 的 原则 。 
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2.2.2 密码 体制 的 分 类 


1. 根据 变换 对 象 分 类 

根据 加 密 变 换 对 象 的 不 同 , 密 码 体 制 分 为 古典 密码 体制 和 现代 密码 体制 。 其 中 ,古典 密 
码 体制 以 字母 (字符 ) 作 为 变换 的 单位 ,通常 指 从 古代 至 第 二 次 世界 大 战 前 后 产生 的 密码 , 目 
前 已 经 很 少 使 用 ,而 现代 密码 体制 以 位 或 字 节 作为 变换 的 单位 。 

2. 根据 密 钥 的 使 用 方式 分 类 

根据 密 钥 使 用 方式 的 不 同 , 密 码 体 制 可 分 为 对 称 密码 体制 和 非 对 称 密码 体制 (也 称 为 公 
钥 密 码 体制 ) 。 

对 称 密码 体制 是 指 用 于 加 密 数 据 的 密 钥 和 用 于 解密 数据 的 密 钥 相同 或 者 两 者 之 间 存 在 
某 种 明确 的 数学 关系 因而 容易 相互 导出 。 由 于 算法 本 身 可 以 公开 ,因此 采用 对 称 加 密 算法 
进行 加 密 通 信和 前 ,需要 通过 可 靠 的 途径 将 密 钥 送 至 接收 端 ,一 旦 密 钥 泄露 就 等 于 泄露 了 被 加 
密 的 信息 。 对 称 密码 算法 中 最 广泛 使 用 的 是 DES 算法 。 

非 对 称 加 密 算法 是 指 用 于 加 密 数据 的 密 钥 和 用 于 解密 数据 的 密 钥 是 不 同 的 ,而 且 已 知 
加 密 密 钥 无 法 推导 出 解密 密 钥 。 在 非 对 称 加 密 算法 中 用 于 加 密 的 密 钥 是 可 以 公开 的 ,任何 
人 都 可 以 基于 公开 密 钥 对 信息 进行 加 密 , 但 只 有 拥有 对 应 解密 密 钥 的 人 才能 解密 信息 ,因此 
解密 密 钥 需要 严格 保密 。RSA 算法 是 常用 的 非 对 称 密码 算法 。 

这 两 类 密码 技术 都 能 提供 机 密 性 ,但 对 称 密码 体制 的 加 密 效率 更 高 ,因此 它 常 用 于 数据 
量 较 大 的 保密 通信 中 ,而 公 钥 密码 常用 于 数字 签名 、 密 钥 分 发 等 场合 。 

3. 根据 明文 和 密 文 的 处 理 方式 分 类 

根据 明文 处 理 方 式 和 密 钥 使 用 方式 的 不 同 , 可 以 将 密码 体制 分 成 分 组 密码 (Block 
Cipher) 和 序列 密码 (Stream Cipher) 。 分 组 密码 一 次 加 密 一 个 明文 块 , 序 列 密码 一 次 加 密 一 
个 字符 或 一 个 位 。 

分 组 密码 也 称 为 块 密码 , 它 将 明文 M 划分 成 一 系列 明文 块 Mi ,M: ,…,M, ,通常 每 块 包 
括 若 干 字符 ,并且 对 每 块 M; 用 同一 个 密 钥 开 。 逐个 进行 加 密 , 即 : 

C= (Ci,C;,…,C,), 其 中 Ci 二 EC(M;,K.),i=1,2,*…,n。 

序列 密码 也 称 为 流 密 码 , 它 将 明文 和 密 钥 都 划分 为 位 (b) 或 字符 的 序列 ,并 且 对 明文 序 
列 中 的 每 一 位 或 字符 都 用 密 钥 序列 中 对 应 的 分 量 来 加 密 。 即 : 

M= Gm ,722 ma ) , 开 。 一 (Rs ,Re ko), C= (cc yc) ,其 中 c=E(m;,ke), 


i=1,2,°…,n。 
2.2.3 密码 设计 的 两 个 重要 原则 

直到 第 二 次 世界 大 战 , 密 码 技术 仍 较 为 简陋 。 为 了 寻求 新 的 密码 设计 方法 ， 
SHANNON 于 1949 年 提出 密码 系统 设计 的 两 个 基本 原则 。 

1. 扩散 性 (Diffusion) 


密码 系统 应 该 把 明文 或 密 钥 信息 的 变化 尽 可 能 多 地 散布 到 输出 的 密 文 信息 中 ,以 便 隐 
项 明文 信息 的 统计 特性 。 产 生 扩散 的 最 简单 的 方法 是 通过 置换 (例如 重新 排列 字符 ) 。 
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2. 混淆 性 (Confusion) 


混淆 是 指 密码 系统 应 该 在 加 密 变换 过 程 中 使 明文 密 钥 及 密 文 之 间 的 关系 复杂 化 ,用 于 
掩盖 明文 和 密 文 间 的 关系 。 产 生 混淆 通常 采用 的 方法 是 代 换 。 

随后 出 现 的 对 称 密码 主要 包括 分 组 密码 和 序列 密码 ,它们 的 设计 者 用 不 同 的 方法 贯彻 
了 以 上 原则 。 分 组 密码 有 很 多 ,如 DES、AES、IDES、RC5、SMS4 等 。SMS4 是 2006 年 中 国 
国家 密码 管理 局 公布 的 无 线 局 域 网 产品 中 应 用 的 建议 密码 算法 之 一 。 


2.2.4 密码 分 析 


密码 分 析 学 是 在 不 知道 密 钥 的 情况 下 ,恢复 出 明文 的 一 门 科 学 。 成 功 的 密码 分 析 能 恢复 
出 消息 的 明文 或 密 钥 ,密码 分 析 也 可 以 发 现 密码 体制 的 弱点 ,是 评判 密码 系统 的 安全 性 的 重要 
方法 。 在 密码 学 术语 中 ,“ 分 析 ” 与 “攻击 "意义 相近 ,因此 密码 分 析 也 称 为 密码 攻击 。 在 所 有 密码 
分 析 中 , 均 假 设 攻击 者 知道 正在 使 用 的 密码 体制 。 密 码 分 析 的 方法 有 两 类 , 即 穷 举 法 和 分 析 法 。 

1. 穷 举 法 

穷 举 法 又 称 为 蛮 力 攻击 ,是 指 密码 分 析 者 对 截获 的 密 文 用 所 有 可 能 的 密 钥 试 译 ,直到 找 
到 一 个 正确 的 密 钥 能 够 把 密 文 还 原 成 明文 ,这 就 是 穷 举 攻击 。 对 于 穷 举 攻击 ,只 要 有 足够 的 
计算 时 间 , 原 则 上 总 能 成 功 ,当然 在 穷 举 法 中 也 要 用 到 经 验 、 直 觉 判断 、 猜 测 等 能 力 。 平 均 而 
言 , 破 译 成 功 至 少 要 尝试 所 有 可 能 密 钥 的 一 半 。 穷 举 攻击 所 花费 的 时 间 等 于 尝试 次 数 乘 以 
一 次 解密 (破解 ) 所 需要 的 时 间 。 显 然 可 以 通过 增 大 密 钥 量 或 加 大 解密 (加 密 ) 算 法 的 复杂 性 
来 对 抗 穷 举 攻击 。 当 密 钥 量 增 大 时 ,尝试 的 次 数 必然 增 大 , 当 解 密 ( 加 密 ) 算 法 的 复杂 性 增 大 
时 ,完成 一 次 解密 (加 密 ) 所 需 的 时 间 增 大 ,从 而 使 穷 举 攻击 在 实际 上 不 能 实现 。 

2. 分 析 法 


分 析 法 又 分 为 统计 分 析 攻 击 和 数学 分 析 攻 击 。 统 计 分 析 是 指 密码 分 析 者 对 截获 的 密 文 
进行 统计 分 析 , 利 用 密 文 的 统计 规律 来 破译 密码 。 例 如 单 表 代 换 密码 通过 分 析 密 文中 字母 
出 现 的 频率 ,与 英文 字母 的 使 用 频率 做 对 比 而 进行 攻击 。 对 抗 统计 分 析 攻 击 的 方法 是 增加 
算法 的 混淆 型 和 扩散 性 ,打破 密 文 的 统计 规律 。 数 学 分 析 法 是 指 密码 分 析 者 针对 加 密 算法 
的 数学 依据 ,通过 数学 求解 的 方法 来 破译 密码 。 为 了 对 抗 数 学 分 析 攻 击 ,应 选用 具有 坚实 数 
学 基础 和 足够 复杂 度 的 加 密 算 法 。 

根据 密码 分 析 者 可 利用 的 数据 ,密码 分 析 可 分 为 以 下 几 种 类 型 。 

(1) 唯 密 文 (Ciphertext Only) 攻 击 。 是 指 密码 分 析 者 仅 根据 截获 的 密 文 来 破译 密码 。 
密码 分 析 者 有 一 些 消 息 的 密 文 ,这 些 消息 都 是 用 同一 加 密 算法 加 密 。 密 码 分 析 者 的 任务 是 
恢复 尽 可 能 多 的 明文 ,或 者 最 好 是 能 推算 出 加 密 消 息 的 密 钥 ,以 便 可 采用 相同 的 密 钥 解 出 其 
他 被 加 密 的 消息 。 

(2) 已 知 明文 (Known Plaintext) 攻 击 。 密 码 分 析 者 可 得 到 一 些 消 息 的 密 文 , 而 且 也 知 
道 这 些 密 文 对 应 的 明文 。 分 析 者 的 任务 是 用 已 知 信息 推出 用 来 加 密 的 密 钥 或 导出 一 个 算 
法 ,该 算法 可 以 对 用 同一 密 钥 加 密 的 任何 消息 进行 解密 。 近 代 密 码 学 认为 ,一 个 密码 仅 当 它 
能 经 受 得 住 已 知 明文 攻击 才 是 可 取 的 。 第 二 次 世界 大 战 中 的 中 途 岛 海战 是 一 次 成 功 的 已 知 
明文 的 攻击 ,美军 故意 透露 出 假 情报 (明文 ) 来 诱 使 日 军 发 报 ( 密 文 ) ,从 而 得 知 密 文中 日 本 海 
军 下 一 个 攻击 目标 *AF” 指 的 是 中 途 岛 。 
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(3) 选择 明文 (Chosen Plaintext) 攻 击 。 指 密码 分 析 者 不 仅 可 以 得 到 一 些小 的 密 文 和 
相应 的 明文 ,而 且 他 们 也 可 以 选择 被 加 密 的 明文 ,这 是 对 密码 分 析 者 最 有 利 的 情况 。 例 如 公 
钥 密 码 体 制 中 ,攻击 者 可 以 利用 公 钥 加 密 任意 选 定 的 明文 ,这 种 攻击 就 是 选择 明文 攻击 情 
况 。 计 算 机 文件 系统 和 数据 库 特别 容易 受到 这 种 攻击 ,因为 攻击 者 可 以 随意 选择 明文 ,并 得 
到 相应 的 密 文 文件 和 数据 库 。 

(4) 选择 密 文 (Chosen Ciphertext) 攻 击 。 密 码 分 析 者 能 选择 不 同 的 被 加 密 的 密 文 , 并 
可 得 到 对 应 的 解密 后 的 明文 。 

在 这 些 攻击 方法 中 , 唯 密 文 攻击 难度 最 大 ,因为 攻击 者 拥有 的 信息 量 最 少 。 

如 果 密 码 分 析 者 无 论 具有 多 少 资源 ,都 不 足以 唯一 地 确定 在 该 密码 体制 下 的 密 文 所 对 
应 的 明文 , 则 此 加 密 体制 是 无 条 件 安全 的 。 一 次 一 密 (One Time Pad) 可 以 满足 无 条 件 安 
全 , 它 用 一 组 完全 无 序 的 数字 ( 密 钥 ) 对 消息 进行 加 密 , 而 且 每 个 密 钥 只 使 用 一 次 。 除 了 一 次 
一 密 , 几 乎 所 有 的 算法 都 不 是 无 条 件 安全 的 ,也 就 是 说 ,在 理论 上 是 可 能 被 攻破 的 ,在 密码 研 
究 中 更 关心 的 是 在 计算 上 安全 的 密码 体制 ,加 密 算 法 应 该 至 少 满足 下 面 两 个 条 件 之 一 就 认 
为 是 计算 上 安全 的 : 

(1) 破译 密码 的 代价 超出 密 文 信息 的 价值 。 那 么 对 于 破译 密码 的 人 来 说 ,这 么 做 是 没 
有 意义 的 。 

(2) 破译 密码 的 时 间 超 出 了 密 文 信息 的 有 效 期 。 当 密码 被 破解 时 ,明文 实际 上 已 经 到 
失 了 使 用 价值 。 


2.3 古典 密码 体制 


古典 密码 体制 采用 手工 或 者 机 械 操作 实现 加 解密 ,相对 简单 ,大 多 数 古 典 加 密 早 在 
计算 机 普及 之 前 已 经 被 开发 出 来 ,计算 机 出 现 后 ,由 于 计算 机 运行 的 速度 远 远 高 于 手工 
计算 速度 ,所 有 古典 密码 算法 能 够 被 计算 机 很 容易 地 破解 ,目前 任何 重要 的 应 用 程序 都 
不 推荐 使 用 古典 加 密 算法 。 古 典 密 码 的 安全 性 较 弱 , 但 反映 了 密码 设计 的 一 些 基本 原则 
和 方法 ,回顾 和 研究 这 些 密码 的 原理 与 技术 ,对 于 理解 ,设计 和 分 析 现 代 密 码 仍 有 和 较 强 的 借 

古典 密码 采用 两 种 基本 技术 , 即 代 换 和 置换 技术 , 代 换 是 将 明文 字母 蔡 换 成 其 他 字母 、 
数字 或 符号 。 置 换 是 打 乱 明文 的 字母 位 置 形 成 密 文 。 古 典 密码 体制 只 使 用 代 换 或 置换 技 
巧 ,而 现代 密码 体制 大 多 是 综合 应 用 这 两 种 技术 实现 的 ,相对 于 古典 密码 体制 来 说 ,基于 的 
数学 基础 更 加 复杂 。 


2.3.1 代 换 密码 


1. 恺 撤 密 码 

已 知 的 最 早 的 代 换 密码 是 由 古 罗马 Julius Caesar 发 明 的 恺 撤 密 码 , 这 种 密码 将 明文 中 
每 个 字母 用 字母 表 中 在 它 之 后 的 第 三 个 字母 进行 循环 代 换 , 恺 撤 密 码 的 密码 表 如 表 2. 1 
所 示 。 
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【 例 2-1】 用 恺 撤 密 码 对 attack on three am 进行 加 密 , 得 到 的 密 文 为 DWWDFN RQ 
WKUHH DP。 

如 果 让 每 个 字母 等 价 于 一 个 数值 ,如 表 2. 2 所 示 ,那么 恺 撤 密 码 的 加 解密 公式 分 别 为 ; 

加 密 ; Ci;= (Pi 十 3) mod 26 

解密 : P;=(C; 一 3) mod 26 

如 果 移 位 可 以 是 任意 整数 k, 则 更 加 通用 的 密码 算法 (也 称 移 位 代 换 密码 ) 如 下 : 

加 密 : C;= (Pi 十 k) mod 26 

解密 : P;=(C; 一 k) mod 26,&E[0,…,25] 

表 2.2 字母 和 数字 对 应 关系 表 

AlIBICIDIEIFIGINITEIT KIEIMINIOIPIQIRI SITIYIVIWIEIYIZS 








0I|1|2|13|14|5|16|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25 





由 于 密 钥 只 有 26 种 可 能 的 取 值 ,因此 用 穷 举 分 析 可 以 轻松 破解 移 位 代 换 密码 。 

2. 单 表 代 换 密码 

移 位 代 换 密码 仅 有 26 种 可 能 的 密 钥 ,是 很 不 安全 的 ,之 所 以 只 有 26 个 密 钥 是 因为 移 位 
代 换 密码 中 的 字母 代 换 太 有 规律 了 ,如 果 打 破 规律 代 换 而 允许 任意 代 换 , 则 密 钥 空 间 将 会 急 
剧 增 大 ,例如 如 果 明 文字 母 A 用 C 代 换 ,在 移 位 代 换 中 字母 B 只 能 用 DD 代 换 ,字母 C 只 能 
用 已 代 换 …… ,以 此 类 推 , 而 如 果 采 用 任意 代 换 则 B 可 用 除 C 之 外 剩余 25 个 字母 中 的 随机 
一 个 来 代 换 ,C 用 剩余 24 个 字母 中 的 随机 一 个 来 代 换 …… :以 此 类 推 , 这 样 , 密 钥 空间 为 
261, 约 4X10” 种 可 能 的 密 钥 ,这 么 大 的 密 钥 空间 即使 对 于 计算 机 来 说 也 应 该 可 以 抵挡 穷 举 
攻击 。 因 为 每 条 消息 用 一 个 字母 映射 表 ( 从 明文 字母 到 密 文字 母 的 上 映射) 加密, 所 以 这 种 方 
法 称 为 单 表 代 换 密码 。 

【 例 2-2】 采用 单 表 代 换 加 密 的 密码 表 如 表 2. 3 所 示 , 对 attack on three am 进行 加 密 ， 
得 到 的 密 文 为 FXXFGP ZQ XALMM FC。 

表 2.3 单 表 代 换 加 密 的 密码 表 

AIBICIDIE|IFIG|IH|IIT|IJIKILIMINIOIPIQIRISITIUIVIWIX|IY|IZ 
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攻击 单 表 代 换 密码 的 有 效 方法 是 利用 统计 分 析 法 , 即 利用 语言 规律 进行 攻击 。 公 元 9 
世纪 ,阿拉 伯 的 密码 破译 专家 就 已 经 娴熟 地 掌握 了 用 统计 字母 出 现 频率 的 方法 来 攻击 单 表 
代 换 密码 。 破 解 的 原理 很 简单 : 在 每 种 拼音 文字 语言 中 ,每 个 字母 出 现 的 频率 并 不 相同 , 例 
如 在 英语 中 ,e 出 现 的 次 数 要 大 大 高 于 其 他 字母 ,英文 字母 使 用 频率 分 布 如 图 2. 2 所 示 。 所 
以 如 果 取 得 了 足够 多 的 密 文 ,通过 统计 每 个 字母 出 现 的 频率 ,就 可 以 猜 出 密码 中 的 一 个 字母 
对 应 于 明文 中 的 哪个 字母 (当然 还 要 通过 揣摩 上 下 文 等 基本 密码 破译 手段 ) 。 
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图 2.2 英语 字母 的 统计 规律 图 


如 果 消 息 足够 长 ,只 要 用 这 种 方法 就 足够 了 ,但 是 如 果 消 息 比较 短 , 还 可 以 用 到 一 些 统 
计 规 律 : 

(1) 英文 单词 以 ES.D、T 结尾 的 超过 一 半 。 

(2) 英文 单词 约 以 T.A、S、W 为 起 始 字 母 的 一 半 。 

(3) 一 般 来 说 三 个 字母 出 现 的 可 能 是 THE 或 AND。 

(4) 单个 字母 出 现 的 可 能 是 A 或 1。 

(5) 最 常见 的 两 字母 组 合 , 依 照 出 现 次 数 递减 的 顺序 排列 依次 为 : TH、HE、IN、ER、 
AN,RE.DE,ON.ES.ST.EN,.AT.TO.NT,HA, ND.OU.EA.NG.AS.OR, TI,IS.ET: 
IT、AR、TE、SE、HI.OF。 

单 表 代 换 之 所 以 能 采用 统计 的 方法 进行 攻击 ,主要 的 原因 是 单 表 代 换 中 每 个 明文 字母 
只 用 一 个 密 文 字母 来 代替 ,明文 中 字母 出 现 的 频率 信息 还 会 保留 在 密 文中 。 如 果 一 个 明文 
字母 可 以 用 多 个 字母 代 换 , 例 如 字母 A, 有 时 用 B 代 换 , 有 时 用 下 代 换 ,可 以 使 得 明文 字母 
出 现 的 频率 信息 得 到 隐藏 ,这 也 是 多 表 代 换 的 思想 。 

3. 多 表 代 换 密码 

改进 单 表 代 换 的 方法 是 在 明文 消息 中 采用 多 个 单 表 代 换 , 这 样 密 文 中 的 每 个 字母 都 有 
多 个 可 能 的 密 文字 母 来 代 换 它 ,从 而 在 密 文中 隐藏 明文 字母 出 现 的 频率 信息 ,这 种 方法 称 为 
多 表 代 换 。Vigenere 密码 是 最 为 著名 的 多 表 代 换 密码 。 

Vigenere 密码 是 一 种 以 移 位 代 换 为 基础 的 周期 代 换 密码 ,采用 该 算法 ,明文 中 每 个 字 
母 采用 移 位 代 换 法 ,所 移 位 的 位 数 由 密 钥 决定 。 每 一 个 密 钥 字母 加 密 一 个 明文 字母 ,直到 所 
有 的 密 钥 字母 用 完 , 然 后 再 从 头 开始 ,也 就 是 密 钥 循环 使 用 。 

【 例 2-3】 密 钥 词 为 deceptive, 那 么 明文 we are discovered save yourself 的 加 密 过 程 如 
表 2.4 所 示 。 

表 2.4 多 表 代 换 过 程 
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第 一 个 明文 字母 w( 对 应 表 2. 2 中 的 数字 为 22) ,该 明文 字母 采用 移 位 代 换 进行 加 密 ， 
移 位 数目 由 对 应 的 密 钥 字母 d( 对 应 数字 为 3) 确 定 , 则 密 文 为 22 十 3(mod 26) 二 25, 对 应 的 
密 文字 母 为 z, 其 他 密 文 字母 的 产生 采用 相同 的 方法 。 

采用 Vigenere 密码 , 例 2-3 中 明文 第 2 位 和 第 5 位 的 字母 e 对 应 的 密 文字 母 分 别 为 i 
和 +t, 即 每 个 明文 字母 对 应 多 个 密 文字 母 ,这 样 字母 出 现 的 频率 信息 就 被 隐蔽 了 。 

Vigenere 密码 如 何 进行 破译 呢 ? 在 上 述 例子 中 ,明文 中 出 现 了 两 次 red, 通 过 观察 发 现 
其 对 应 的 密 文 序列 vtw 也 相同 ,这 是 因为 两 个 red 对 应 的 密 钥 字母 序列 也 相同 。 采 用 
Vigenere 密码 加 密 , 如 果 两 个 相同 的 明文 序列 之 间 的 距离 是 密 钥 词 长 度 的 整数 倍 ,那么 产 
生 的 密 文 序列 也 是 相同 的 。 这 样 ,密码 分 析 者 只 要 发 现 重 复 序列 vtw, 且 重复 序列 之 间 相 隔 
9 个 字母 ,那么 他 就 可 以 认为 密 钥 词 长 度 是 3 或 者 9。vtw 的 两 次 出 现 可 能 是 偶然 的 ,不 一 
定 是 用 相同 密 钥 词 加 密 相同 明文 所 导致 的 ,然而 ,如 果 信 息 足 够 长 ,就 会 有 大 量 重复 的 密 文 
序列 出 现 ,通过 计算 重复 密 文 序列 间距 的 公 因 子 ,分 析 者 就 能 猜 出 密 钥 的 长 度 。 

采用 Vigenere 密码 加 密 , 间 隔 长 度 是 密 钥 长 度 整 数 倍 位 置 上 的 加 密实 际 上 是 单 表 代 
换 。 如 果 密 钥 的 长 度 为 N, 那 么 加 密 过 程 包含 了 N 个 单 表 代 换 。 例 如 例 2-3 中 ,位置 1,10， 
19,… 的 字母 的 加 密 是 单 表 代 换 ,第 2,11,19,… 位 的 字母 加 密 也 是 单 表 代 换 , 以 此 类 推 ,在 
分 析出 密 钥 长 度 后 ,对 于 每 一 个 单 表 代 换 可 以 用 明文 语言 的 频率 特性 进行 分 析 从 而 破解 
Vigenere 密码 。 

虽然 破译 Vigenere 密码 的 技术 并 不 复杂 ,但 是 在 1917 年 的 一 期 (科学 美国 人 》 的 杂志 
上 却 称 之 为 不 可 破译 的 。 当 对 现代 密码 算法 做 出 类 似 论断 时 ,这 是 值得 吸取 的 教训 。 

Vigenere 密码 之 所 以 能 被 破解 的 主要 原因 是 密 钥 重复 使 用 ,因此 仍然 能 够 用 统计 的 方 
法 进行 分 析 , 要 抗击 这 样 的 密码 分 析 , 只 有 选择 与 明文 长 度 相同 的 密 钥 。 

4. 一 次 二 密 

Major Joseph Mauborgne 和 AT&T 公司 的 Gilbert Vernam 于 1917 年 发 明了 一 种 理 
想 的 加 密 方 案 , 称 为 一 次 一 密 乱码 本 (One-time Pad) ,被 认为 是 一 种 不 可 攻破 的 密码 体制 。 
一 次 一 密 乱码 本 是 一 个 大 的 不 重复 的 随机 密 钥 字母 集 ,每 个 密 钥 被 分 别 写 在 一 张 纸 上 ,所 有 
密 钥 纸 被 粘 成 一 个 乱码 本 ,发 送 者 在 发 送 消息 时 用 乱码 本 中 的 一 个 密 钥 加 密 ,然后 销毁 乱码 
本 中 用 过 的 一 页 ,接收 者 有 一 个 相同 的 乱码 本 ,依次 用 乱码 本 上 的 密 钥 解密 ,并 销毁 密 钥 本 
中 用 过 的 一 页 。 采 用 这 种 方式 ,每 个 密 钥 仅 对 一 个 消息 使 用 一 次 。 

一 次 一 密 要 求 使 用 与 消息 本 身 一 样 长 的 随机 密 钥 , 每 个 密 钥 只 能 使 用 一 次 ,一 次 一 密 的 
安全 性 完全 取决 于 密 钥 的 随机 性 。 如 果 构 成 密 钥 的 字符 流 是 真正 随机 的 ,那么 构成 密 文 的 
字符 流 也 是 真正 随机 的 ,这 样 的 密码 是 无 条 件 安全 的 。 

【 例 2-4】 1918 年 美国 电报 电话 公司 的 G. W. Vernam 提出 这 样 的 密码 系统 : 明文 英 
文字 母 编 成 5bit 二 元 数字 , 称 为 五 单元 波多 码 (Baudot Code) ,选择 随机 二 元 数字 流 作为 密 
钥 , 加 密 通 过 执行 明文 和 密 钥 的 逐 位 异 或 操作 产生 密 文 ,可 以 简单 地 表示 为 : 

C= P;@K.; 

其 中 ,P; 表示 明文 的 第 i 个 二 元 数字 ,K; 表示 密 钥 的 第 i 个 二 元 数字 ,C; 表示 密 文 的 第 

i 个 二 元 数字 , 申 表示 蜡 或 操作 。 解 密 仅 需要 执行 相同 的 逐 位 异 或 操作 
P;=C:@K; 
但 实际 上 一 次 一 密 要 达到 无 条 件 安全 ,存在 两 个 基本 难点 : 一 是 产生 大 规模 随机 密 钥 
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的 实际 困难 , 另 一 个 是 密 钥 分 配 和 保护 问题 ,对 每 一 条 发 送 的 消息 ,需要 提供 给 发 送 方 和 接 
收 方 等 长 度 的 密 钥 ,因此 存在 庞大 的 密 钥 分 配 问 题 ,所 以 一 次 一 密 在 实际 中 很 少 使 用 ,而 主 
要 用 于 安全 性 要 求 很 高 的 低 带宽 通信 。 

前 苏联 曾经 在 第 二 次 世界 大 战 后 使 用 过 一 次 一 密 的 方法 来 加 密 间谍 发 送 的 消息 ,用 一 
重 在 每 一 页 上 都 标 有 随机 数 的 纸 , 每 页 纸 用 于 一 条 消息 ,而 且 只 用 一 次 。 如 果 正 确 使 用 ,这 
种 加 密 机 制 无 法 破解 ,但 是 苏联 人 的 错误 是 没有 正确 使 用 它们 ,重复 使 用 了 一 次 性 便条 ,所 
以 一 些 消息 就 被 破解 了 。 

那么 什么 样 的 密码 才 是 真正 的 一 次 一 密 呢 ? 它 必须 满足 三 个 条 件 : 

(1) 密 钥 是 随机 产生 的 ,而 且 必须 是 真 随机 数 , 而 不 是 伪 随 机 数 。 

(2) 密 钥 不 能 重复 使 用 。 

(3) 密 钥 的 有 效 长 度 不 小 于 密 文 长 度 。 


2.3.2 置换 密码 


与 代 换 不 同 的 另外 一 种 加 密 方 式 是 打 乱 明文 字母 的 顺序 形成 新 的 序列 ,这 种 技术 称 为 
置换 密码 。 置 换 密码 的 基本 思想 是 按 一 定 的 规则 书写 明文 ,而 按 另 一 规则 读 出 密 文 。 

早 在 公元 前 6 年 古 希 腊 人 借助 于 一 根 叫 scytale 的 棍子 进行 加 密 ,送信 人 将 一 张 纸 条 环 
绕 在 scytale 棍子 上 ,把 要 加 密 的 消息 沿 着 棍子 横 写 ,将 缠绕 在 棍子 上 的 纸 条 展开 后 , 纸 条 上 
的 字母 看 起 来 是 一 些 随机 字母 ,如 果 不 知 道 棍子 的 宽度 (这 里 作为 密 钥 ) 是 很 难 解 密 的 。 这 
种 加 密 方法 就 是 典型 的 置换 法 。 

典型 的 置换 还 可 采用 栅栏 技术 ,这 种 加 密 方 法 按照 对 角 线 的 顺序 写 入 明文 ,而 按 行 的 顺 
序 读 出 作为 密 文 。 

【 例 2-5】 用 深度 为 2 的 栅栏 技术 加 密 明 文 meet after the toga party, 其 过 程 如 
表 2.5 所 示 , 则 密 文 为 MEATRHTGPRYETFETEOAAT。 

表 2.5 栅栏 技术 加 密 过 程 


m e a % r h 并 g p [2 y 








[3 t . t e o a a t 


一 种 更 加 复杂 的 方案 是 把 消息 一 行 一 行 地 写成 矩形 块 ,然后 按 列 读 出 ,但 是 把 列 的 次 序 
打 乱 , 列 的 次 序 就 是 密 钥 。 
【 例 2-6】 用 和 矩阵 法 加 密 明 文 meet after the toga party, 如 表 2.6 所 示 。 


表 2.6 用 和 矩 阵 法 加 密 明 文 











密 钥 4 3 1 2 5 6 7 
m 必 e t a f . 
明文 e r t h e t o 
g a P a 工 者 y 























则 生成 的 密 文 为 ETPTHAERAMEGAERFTTTOY ,如 表 2.7 所 示 。 
解密 时 将 密 文 分 组 后 按 列 的 顺序 排列 ,并 根据 密 钥 重新 排列 列 的 顺序 ,原来 的 第 四 列 调 
整 到 第 一 列 ,第 三 列 调整 到 第 二 列 , 以 此 类 推 ,最 终 得 到 表 2. 6, 按 行 的 顺序 读 出 即 可 得 到 明 
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文 序列 。 
表 2.7 用 矩阵 法 解密 密 文 
e e m a f t 
密 文 t h 到 e e t o 
Pp a a g 工 地 y 























单纯 的 置换 技术 对 于 现代 密码 分 析 来 说 是 微不足道 的 。 因 此 , 管 换 技术 通常 是 与 代 换 
技术 相 结合 使 用 的 ,一般 可 先 用 代 换 技术 加 密 ,再 用 置换 技术 将 密 文 再 次 加 密 。 


2.4 对称 密码 体制 


相对 于 古典 密码 体制 ,现代 密码 体制 的 算法 是 针对 比特 而 不 是 针对 字母 进行 变换 ,并 且 
算法 更 加 复杂 ,但 是 采用 的 技术 还 是 没 变 , 大 多 数 优秀 算法 的 主要 组 成 部 分 仍然 是 代 换 和 置 
换 的 组 合 。 现 代 密 码 体制 按 密 钥 特征 进行 划分 ,可 以 分 为 对 称 密码 体制 和 公 钥 密码 体制 ,其 
中 对 称 密码 体制 是 指 加 密 和 解密 用 到 的 密 钥 相同 ,或 者 存在 确定 的 转换 关系 。 根 据 密码 算 
法 对 明文 信息 的 加 密 方式 ,对 称 密码 体制 分 为 两 类 , 即 分 组 密码 和 序列 密码 (或 称 流 密码 ) 。 
其 中 分 组 密码 是 先 把 明文 划分 为 长 度 相 等 的 分 组 (分 组 大 小 通常 为 64b 或 128b) ,每 个 明文 
分 组 被 当 作 一 个 整体 来 产生 一 个 等 长 (通常 情况 下 ) 的 密 文 分 组 ,分 组 密码 体制 是 目前 商业 
领域 中 比较 重要 而 流行 的 一 种 加 密 机 制 , 广 泛 应 用 于 数据 的 保密 传输 、 加 密 存储 等 应 用 场 
合 。 序 列 密码 每 次 加 密 数据 流 中 的 一 位 或 一 个 字 节 。 目 前 流行 的 对 称 密码 有 DES、3-DES、 
AES IDES、Blowfish、RC 系列 算法 ,这 里 主要 介绍 数据 加 密 标准 DES 算法 。 


2.4.1 DES 简介 


20 世纪 60 年 代 计 算 机 应 用 得 到 了 迅猛 的 发 展 ,大 量 数据 资料 被 集中 存储 在 计算 机 数 
据 库 中 并 在 计算 机 通信 网 中 进行 传输 ,有 些 通 信 内 容 具 有 高 度 机 密 性 ,例如 大 额度 的 转账 信 
息 、 有 价 证 券 购 买 或 出 售 信息 、 建 捕 令 、 航 班 和 票务 预定 、 医 疗 和 保险 记录 等 ,因此 对 计算 机 
通信 及 数据 进行 保护 的 需求 日 益 增 长 。 

1973 年 ,美国 国家 标准 局 (NBS) 发布 密码 算法 征集 通知 ,公开 征求 一 种 标准 算法 用 于 
保护 计算 机 数据 的 传递 和 存储 。IBM 公司 Feistel 领导 的 设计 小 组 提交 了 他 们 研制 的 一 种 
密码 算法 ,该 算法 是 由 早期 的 LUCIFFR 密码 改进 而 得 的 。 在 经 过 大 量 的 公开 讨论 后 该 密 
码 算法 于 1977 年 1 月 被 正式 批准 为 美国 数据 加 密 标准 ,此 后 ,这 一 受到 批准 的 算法 被 称 为 
DES(Data Encryption Standard) ,1980 年 12 月 美国 国家 标准 协会 ANSI 正式 采用 该 算法 
作为 美国 商用 加 密 算法 。 

DES 设计 巧妙 ,除了 密 钥 输入 顺序 .其 加 密 和 解密 的 步骤 完全 相同 ,在 DES 出 现 后 ,经 
过 许多 专家 学 者 的 分 析 论证 证 明 该 算法 是 一 种 性 能 良好 的 数据 加 密 算 法 ,不 仅 随 机 特性 好 、 
线性 复杂 度 高 ,而 且 易 于 实现 ,因此 DES 在 国际 上 得 到 了 广泛 的 应 用 , 它 的 产生 被 认为 是 信 
息 加 密 技术 发 展 史 上 的 里 程 碑 之 一 。 
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2.4.2 ”DES 加 解密 原理 


1. DES 的 加 密 

DES 算法 是 典型 的 分 组 密码 ,加 密 前 先 将 明文 编码 表示 后 的 二 进 制 序列 划分 成 长 度 为 
64b 的 分 组 ,对 于 每 个 分 组 执行 如 图 2. 3 所 示 的 算法 步骤 ,DES 算法 的 密 钥 也 是 长 度 为 64b 
的 二 进 制 序列 , 密 钥 中 第 8、16、24、32、40、48、56、64 位 为 奇偶 校 验 位 ,因此 真正 起 作用 的 只 
有 56 位 ,算法 的 输出 为 64b 的 密 文 。 


64b 明 文 





了 
64b 密 钥 初始 置换 IP 





时 
一 一 一 | 16 轮 友 代 处 理 





子 密 钥 K, 
(二 1~16) 











了 
互 换 左 、 右 32 位 








1 
初始 逆 置换 IP- 


1 
64b 密 文 

















图 2.3 DES 算法 步骤 


下 面具 体 介绍 一 个 分 组 的 加 密 过 程 。 
1) 初始 置换 IP 
初始 置换 IP 是 将 64b 的 明文 进行 位 置 重 排 ,通过 IP 运算 得 到 一 个 乱 序 的 64b 明文 组 ， 
置换 表 如 表 2. 8 所 示 。 置 换 后 的 数据 平均 分 成 左右 两 段 , 用 志和 尺 来 表示 ,这 两 部 分 数据 
是 下 一 步 迭 代 变 换 的 初始 输入 。 
表 2.8 初始 置换 


58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 





62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 





57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 





61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 各 















































2) 迭代 变换 

它 是 DES 算法 的 核心 部 分 。 如 图 2.4 所 示 ,将 1) 中 经 过 IP 置换 后 的 数据 分 成 左右 两 
组 各 32b, 作 为 第 一 轮 迭 代 变 换 的 输入 。 每 轮 迭 代 只 对 右边 的 32b 进行 一 系列 的 加 密 变 换 
下 ,加 密 变 换 具体 包括 选择 运算 已 、 密 钥 加 密 运 算 .选择 压缩 运算 S、 置 换 运算 P。 在 一 轮 迭 
代 即 将 结束 时 ,把 上 一 轮 左边 的 32b 与 本 轮 经 加 密 变 换 下 得 到 的 32b 进行 模 2 相 加 ,作为 
下 一 轮 迭 代 时 右边 的 段 ,并 将 上 一 轮 右边 的 未 经 变换 的 段 直接 送 到 左边 的 寄存 器 中 作为 下 
一 轮 迭 代 时 左边 的 段 , 即 : 
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Li 一 Ri 
R; = Li D F(R K,) 








Li1(32b) Ri-1(32b) 


48b 寄 存 器 


9 一 | 子 密 钥 K(48b) 


48b 寄 存 器 


(选择 压缩 运算 5 ) 


了 
32b 寄 存 器 


















































置换 运算 P 











1 1 
[432b) R32b) 


LER RFL-I@FR- AD) 
图 2.4 和 迭代 变换 


这 样 的 迭代 共 进 行 16 轮 ,结束 后 ,再 将 所 得 的 左 、 右 长 度 相 等 的 Lis 和 Ri 进行 交换 得 
到 64b 数据 。 下 面具 体 介绍 加 密 变 换 , 包 括 选择 扩展 运算 EE、 密 钥 加 密 运算 、 选 择 压缩 运算 
S .置换 运算 已 。 

(1) 选择 扩展 运算 已 

选择 扩展 运算 将 输入 的 32b 扩展 成 48b 输出 ,扩展 方法 | 3 


























| 01 02 03 04 | 05 

是 重复 某 些 位 置 上 的 元 素 ,其 变换 表 如 图 2. 5 所 示 , 共 有 16 0 | 机 oy | 
个 位 置 的 元 素 被 读 了 两 次 。 12113 14 15 16117 
(2) 密 钥 加 密 运 算 16 117 18 19 20121 
pF 

将 子 密 钥 产生 器 输出 的 48b 子 密 钥 K 与 选择 扩展 运算 | 24 125 26 27 28129 
已 输出 的 48b 数据 按 位 模 2 相 加 ( 子 密 钥 如 何 产生 请 见 | ,3” 30 3 3 01 





后 文 ) 。 

(3) 选择 压缩 运算 S 

将 (2) 中 产生 的 48 比特 数据 自 左 至 右 分 成 8 组 ,每 组 6b, 然 后 并 行 送 入 8 个 S 盒 。 
个 S 盒 为 一 非 线 性 代 换 网 络 ,能 够 将 6b 的 输入 转换 为 4b 的 输出 ,具体 做 法 是 对 于 每 个 S 
盒 , 将 输入 的 第 1 和 第 6 位 组 成 的 二 进 制 数 作为 横 坐 标 , 其 他 4b 作为 纵 坐 标 , 然 后 查询 相应 
的 S 盒 ,再 将 对 应 位 置 上 的 十 进 制 数 用 二 进 制 表 示 。 盒 S1 一 S8 的 选择 函数 关系 如 表 2. 9 所 
示 , 运 算 S 的 框图 如 图 2.6 所 示 。 


图 2.5 选择 扩展 运算 
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表 2.9 DES 的 S 盒 定义 
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图 2.6 选择 压缩 运算 过 程 
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【 例 2-7】 若 对 于 Se 的 输入 为 110011, 则 行 号 为 11, 二 3, 列 号 为 1001* 一 9, 查 询 Se 的 
第 3 行 第 9 列 得 到 的 十 进 制 数 为 14, 转 换 为 二 进 制 数 1100, 所 以 输出 为 1100。 

(4) 置换 运算 

置换 运算 PP 对 S, 一 Ss 盒 输出 的 32b 数据 进行 坐标 变换 ,具体 置换 方法 如 表 2. 10 
所 示 。 











表 2.10 置换 P 表 
16 2 20 21 29 12 28 好 
15 23 26 5 18 31 10 
2 8 24 14 32 27 3 9 
19 13 30 6 22 11 4 25 























3) 子 密 钥 产生 器 

DES 加 密 过 程 共 涉及 16 轮 迭 代 , 每 轮 使 用 一 个 不 同 的 48 位 子 密 钥 , 共 需 16 个 子 密 钥 ， 
这 些 子 密 钥 由 初始 输入 的 64 位 密 钥 产生 ,初始 密 钥 中 有 8 位 为 奇偶 校 验 位 ,位 置 号 分 别 为 
8、16、24、32、40、48、56 和 64, 因 此 真正 有 效 的 只 有 56 位 , 子 密 钥 的 具体 生成 过 程 如 图 2.7 
所 示 。 












































































































































输入 56 位 密 钥 
1 
置换 选择 PC-1 
1 
1 1 
Go Do 
t 
循环 左 移 KD) 位 循环 左 移 1) 位 
二 Ps ~ 
CI D， 
循环 左 移 /2) 位 循环 左 移 h(2) 位 
置换 选择 PC-2 [一 一 K; 
r 太一 一 二 | 曾 换 选择 PC 态 
! 1 
循环 左 移 16) 位 循环 左 移 h16) 位 
T i 二 | 置换 选择 PC-2 [Ki6 


图 2.7 子 密 钥 产生 器 


56 位 密 钥 首先 经 过 置换 选择 PC-1( 如 表 2. 11 所 示 ), 将 其 位 置 打 乱 重 排 ,置换 后 分 为 两 
组 ,每 组 为 28b, 分 别 送 入 C 寄存 器 和 D 寄存 器 中 . 接 下 来 对 C 和 D 寄存 器 中 的 数据 进行 左 
循环 移 位 置换 ,每 轮 移 位 数目 如 表 2. 12 所 示 , 移 位 后 将 C 和 D 寄存 器 的 存 数 送 给 置换 选择 
PC-2, 从 中 挑 出 48b 作为 这 一 轮 的 子 密 钥 ,这 个 子 密 钥 作为 前 面 介绍 的 加 密 函 数 的 一 个 输 
入 ,再 将 C 和 D 寄存 器 的 存 数 循环 左 移 后 ,使 用 置换 选择 PC-2 产生 下 一 轮 迭 代 的 子 密 钥 ， 
如 此 继续 ,产生 所 有 16 个 子 密 钥 。 
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表 2.11 置换 选择 PC-1 


57 49 41 33 25 17 9 1 58 50 42 34 26 18 
10 2 59 51 43 35 27 19 i 3 60 52 44 36 
63 55 47 39 31 23 15 ? 62 54 46 38 30 22 
14 6 61 53 45 37 29 21 13 5 28 20 12 4 


















































表 2.12 移 位 次 数 表 











置换 选择 PC-2( 见 表 2. 13) 将 C 中 第 9、18、22、25 位 和 DD 中 的 第 7.9、15、26 位 删除 ,并 
将 其 余数 字 置 换 位 置 后 送出 48b 数字 作为 第 i 次 迭代 时 所 用 的 子 密 钥 K;。 


表 2.13 置换 选择 PC-2 












































14 17 11 24 1 5 3 28 15 6 21 10 

23 19 12 4 26 8 16 净 27 20 13 2 

41 52 al 37 47 55 30 40 51 45 39 48 

44 49 39 56 34 53 46 42 50 36 29 32 
4) 逆 初 始 置换 IP-: 


如 表 2. 14 所 示 , 逆 初始 置换 IP 将 16 轮 迭 代 后 给 出 的 64b 组 进行 置换 得 到 输出 的 密 
文 组 , 道 初始 置换 后 得 到 的 64b 数据 分 组 , 即 为 加 密 后 得 到 的 密 文 。 


表 2.14 逆 初始 置换 











40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 33 1 41 9 49 1 57 25 















































2. DES 算法 的 解密 

解密 算法 与 加 密 算法 相同 ,只 是 子 密 钥 的 使 用 次 序 相 反 。 把 64 位 密 文 当 作 输 入 ,第 一 
次 解密 迭代 使 用 子 密 钥 Ki ,第 二 次 解密 迭代 使 用 子 密 钥 Kis ,… ,第 16 次 解密 迭代 使 用 子 
密 钥 Ki ,最 后 输出 的 便 是 64 位 的 明文 。 

3. DES 算法 的 工作 模式 

DES 是 对 称 分 组 密码 体制 ,分 组 长 度 为 56, 但 实际 要 加 密 的 消息 不 一 定 刚好 是 一 个 分 组 
长 度 , 为 了 能 在 实际 中 应 用 ,分 组 密码 可 以 在 不 同 的 操作 模式 下 运行 ,允许 用 户 选择 不 同 的 模 
式 满足 他 们 的 应 用 需求 ,有 5 种 常见 的 操作 模式 : 电子 密码 本 (ECB) ,密码 分 组 链接 (CBC) 、 密 
码 反 馈 (CFB) ,输出 反馈 (OFB) 和 计数 器 (CTR) 模 式 , 这 里 主要 介绍 ECB 和 CBC 模式 。 

1) 电子 密码 本 (Electronic Code Book .ECB) 

这 种 方式 是 分 组 密码 的 基本 工作 方式 , 它 将 长 的 明文 分 成 大 小 相等 的 分 组 P= (Pi， 
P,,…, PL), 最 后 一 组 在 必要 时 需要 进行 填充 ,每 组 用 相同 的 密 钥 KK 进行 加 密 C; 二 
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Ex(P;) ,加密 后 将 各 组 密 文 合并 成 密 文 消息 C 一 (Ci,C: ,…,Cr) ,如 图 2.8 所 示 。 


中 


| 


1 
K 一 | 加 密 | K 一 | 加 密 | … 一 | 加 客 

| 

GO 

















| 


CI 
图 2.8 电子 密码 本 方式 


在 ECB 模式 下 ,每 一 个 分 组 独立 加 密 , 产 生 独 立 的 密 文 组 ,采用 这 种 方式 可 以 利用 并 行 
处 理 来 加 速 加 密 运 算 和 解密 运算 ,并 且 在 传输 时 任意 一 个 分 组 的 错误 不 会 影响 其 他 分 组 ,这 
是 该 模式 的 一 个 优点 。 但 是 ,相同 的 明文 组 产生 相同 的 密 文 组 , 当 处 理 长 的 明文 时 ,ECB 工 
作 模 式 就 会 暴露 出 弱点 。 假 设 敌 方 Eve 在 充分 长 的 一 段 时间 内 观察 了 Alice 和 Bob 之 间 的 
通信 ,如 果 Eve 已 经 设法 获得 了 一 些 密 文 对 应 的 明文 ,就 可 以 开始 建立 一 个 密码 本 用 来 解 
密 Alice 和 Bob 之 间 未 来 的 通信 信息 ,Eve 没有 必要 计算 KK, 只 要 查询 一 下 密码 本 中 的 密 文 
所 对 应 的 明文 来 解密 消息 。 
2) 密码 分 组 链接 (CBC) 
为 了 克服 ECB 的 缺陷 ,人 们 希望 设计 一 种 A 
方案 使 同一 明文 分 组 重复 出 现时 产生 的 密 文 分 eS 
1 


Pi 


Pp, 
“6 
天 天 
三 本 | 


组 不 同 。 一 种 简单 的 方案 是 使 用 密码 分 组 链接 



































(Cipher Block Chaining, CBC) 模 式 ,如 图 2. 9 “| 加 窗 加 密 | … 加 密 
所 示 ,这 种 模式 和 ECB 模式 一 样 ,也 要 将 明文 | | 

分 成 大 小 相等 的 分 组 已 = (P,P,,…,PL), 最 Gi (eA Cs 
后 一 组 在 必要 时 需要 进行 填充 ,CBC 将 这 些 分 图 2.9 密码 分 组 链接 方式 


组 连接 在 一 起 进行 加 密 , 加 密 输入 是 当前 明文 

分 组 和 前 一 密 文 分 组 的 异 或 ,它们 形成 一 条 链 , 每 次 加 密使 用 相同 的 密 钥 。 在 加 密 时 ,最 开 
始 一 个 分 组 先 和 一 个 初始 向 量 (Initialization Vector,IV) 进 行 异 或 ,然后 用 密 钥 加 密 ,每 个 
分 组 的 加 密 结 果 均 会 受到 前 面 所 有 分 组 的 影响 ,所 以 即使 相同 的 明文 分 组 也 会 产生 不 同 的 
密 文 ,有 利于 保护 明文 。 但 是 CBC 模式 会 导致 错误 传播 , 密 文 传输 中 任何 一 组 发 生 错 误 不 
仅 影响 该 分 组 的 正确 解密 ,也 会 影响 其 下 一 分 组 的 正确 解密 。 该 模式 的 另 一 个 缺点 是 不 能 
实时 解密 ,也 就 是 说 必须 等 到 所 有 分 组 密 文 收 到 之 后 才能 解密 。 


2.4.3 DES 的 安全 性 


DES 的 出 现 是 密码 学 史上 的 一 个 创举 ,在 此 之 前 密码 体制 及 其 设计 细节 都 是 严 加 保密 
的 ,而 DES 算法 公开 发 表 , 可 供 任何 人 研究 和 分 析 , DES 的 安全 性 完全 依赖 于 密 钥 。DES 
在 20 多 年 的 应 用 实践 中 ,没有 发 现 严重 的 安全 缺陷 ,在 世界 范围 内 得 到 了 广泛 的 应 用 ,为 确 
保 信息 安全 做 出 了 巨大 贡献 。 

从 应 用 实践 来 看 ,DES 具有 良好 的 “雪崩 效应 ”。 所 谓 “ 雪 崩 效 应 ”是 指明 文 或 密 钥 的 微 
小 改变 将 对 密 文 产生 很 大 影响 。DES 显示 了 很 强 的 雪崩 效应 ,在 密 钥 相同 的 情况 下 ,明文 
的 一 位 变化 ,3 轮 迭 代 后 密 文 有 21b 不 同 ,16 轮 兴 代 后 有 34b 不 同 。 

当 DES 算法 被 建议 作为 一 个 标准 时 , 曾 出 现 过 很 多 批评 。 其 中 最 有 争议 的 问题 之 一 就 
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是 S 盒 。S 盒 的 设计 原则 是 DES 的 安全 核心 ,因为 在 DES 算法 中 ,除了 S 盒 外 ,所 有 计算 
都 是 线性 的 。S 盒 的 设计 被 列 为 官方 机 密 , 所 以 有 人 认为 S 盒 可 能 存在 陷 门 ,美国 国家 安全 
局 (NSA) 有 可 能 利用 这 些 弱点 在 没有 密 钥 的 情况 下 解密 ,但 至 今 没 有 迹象 表明 S 盒 中 存在 
陷 门 。IBM 在 20 世纪 90 年 代 早 期 公布 了 如 下 设计 准则 。 

(1) 每 一 个 S 盒 的 输入 是 6 位 ,输出 是 4 位 。 这 是 1974 年 在 一 个 芯片 上 的 能 放大 最 大 
的 内 容 。 

(2) S 盒 的 输出 不 应 该 和 输入 的 线性 函数 接近 (线性 性 质 可 以 使 系统 更 容易 分 析 ) 。 

(3) S 盒 的 每 一 行 包 含 0 一 15 的 所 有 数 。 

(4) 如 果 S 盒 的 两 个 输入 只 有 1 位 不 同 ,那么 这 两 个 输出 至 少 有 2 位 不 同 。 

(5) 如 果 S 盒 的 两 个 输入 的 前 2 位 不 同 , 后 2 位 相同 ,那么 输出 一 定 不 同 。 

(6) 给 定 32 对 输入 的 异 或 .对 每 一 对 计算 输出 的 异 或 ,至 多 有 8 个 相同 。 这 显然 是 为 
了 抵御 差分 攻击 。 

关于 DES 算法 另 一 个 具有 争议 的 问题 就 是 担心 实际 56b 的 密 钥 长 度 不 足以 抵御 穷 举 
攻击 ,因为 密 钥 量 只 有 2”。1977 年 Differ 和 Hellman 认为 利用 100 万 个 超大 规模 集成 电 
路 块 所 组 成 的 一 台 专 门 用 于 破译 DES 的 并 行 计算 机 能 在 一 天 中 穷 举 搜索 所 有 2” 个 密 钥 ， 
这 样 的 一 台 计 算 机 在 1977 年 需要 耗资 2000 万 美元 ,Differ 和 Hellman 指出 ,除了 像 美国 国 
家 安全 局 那样 的 机 构 ,任何 人 不 可 能 破译 DES, 但 他 们 预测 到 1990 年 制造 和 破译 DES 专用 
机 的 成 本 将 大 幅度 下 降 , 那 时 DES 将 完全 不 安全 。 

事实 证 明 , 他 们 的 预测 是 有 道理 的 , 随 着 计算 能 力 和 Internet 网 络 的 发 展 ,DES 已 经 不 
能 经 受 住 穷 举 攻击 。1997 年 1 月 28 日 ,美国 的 RSA 数据 安全 公司 在 RSA 安全 年 会 上 县 
赏 10 000 美金 破解 DES, 科 罗拉 多 州 的 程序 员 Verser 在 Internet 上 数 万 名 志愿 者 的 协作 下 
用 96 天 的 时 间 找 到 了 DES 密 钥 。1998 年 7 月 电子 前 沿 基 金 会 (EFF) 使 用 一 台 价值 25 万 
美元 的 计算 机 在 56 小 时 之 内 破译 了 56b 的 DES,1999 年 1 月 电子 前 沿 基金 会 (EFF) 通 过 
互联 网 上 的 10 万 台 计 算 机 合作 , 仅 用 22 小 时 15 分 就 破解 了 56b 的 DES。 这 一 事件 表明 ， 
依靠 Internet 的 分 布 式 计算 能 力 , 用 穷 举 攻击 方法 破解 DES 已 经 成 为 可 能 ,因此 需要 寻找 
新 的 算法 代替 DES 算法 。 


2.4.4 三 重 DES 


DES 由 于 安全 问题 ,美国 政府 于 1998 年 12 月 宣布 DES 不 再 作为 联邦 加 密 标 准 。 在 新 
的 加 密 标准 实施 前 ,为 了 使 已 有 的 DES 算法 投资 不 浪费 ,人 们 尝试 用 DES 和 多 个 密 钥 进行 
多 次 加 密 , 其 中 三 重 DES 已 被 广泛 采用 。 

1. 二 重 DES 

最 简单 的 多 重 DES 加 密 是 用 DES 加 密 两 次 ,每 次 使 用 不 同 的 密 钥 ,二 重 DES 的 加 密 
与 解密 过 程 如 图 2. 10 所 示 , 给 定 明 文 P 和 两 个 加 密 密 钥 和, ,二 重 DES 加 密 过 程 为 
C 二 Ei, (Es,(P)) ,解密 过 程 为 P 二 Di (Di,(C)), 因 为 使 用 了 两 个 64 位 的 密 钥 ,所 以 二 重 
DES 的 密 钥 总 长 度 为 112 位 , 密 钥 空间 的 数量 为 2 ,似乎 密码 强度 增加 了 一 倍 ,但 是 如 果 
采用 “中 间 相 遇 攻 击 ”(Meet-in-the-Middle Attack) 来 攻击 , 则 可 以 大 大 减少 攻击 代价 。 

从 图 2. 10 中 可 以 看 出 : X=Es (P) 王 Du (CC) 。 
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(a) 加 密 (b) 解密 
图 2.10 两 重 DES 算法 过 程 


若 给 出 一 个 已 知 的 明 - 密 文 对 (P,C) ,分 别 用 2” 个 密 钥 有 对 明文 进行 加 密 , 得 到 一 张 密 
钥 / 密 文 X 对 应 表 , 类 似 的 ,用 于 个 密 钥 心 对 密 文 进行 解密 ,得 到 相应 的 明文 X 对 应 表 , 比较 
两 个 表 中 X 相同 的 项 ,就 会 得 到 真正 实用 的 密 钥 对 、k ,可 以 看 出 计算 代价 为 2 十 2*” 二 2”。 

2. 三 重 DES 

为 了 防止 中 间 相 遇 攻 击 ,可 以 采用 三 次 加 密 方式 ,如 图 2. 11(a) 所 示 。 这 是 使 用 两 个 密 
钥 的 三 重 DES, 采 用 加 密 - 解 密 -加 密 (EDE) 方 案 。 加 密 为 C=E (Di, CE (P))) ,解密 过 程 
为 P 一 Da (Eu Ds,(C)), 如 图 2.11(b) 所 示 , 这 种 加 密 方 案 的 攻击 代价 为 2”。 

目前 还 没有 针对 两 个 密 钥 的 三 重 DES 的 实际 攻击 方法 ,但 是 感觉 它 不 太 可 靠 ,又 建议 
使 用 三 密 钥 的 三 重 DES, 加 密 为 C=Eis (Diz (En (P))), 解 密 过 程 为 P= Di (Eu Du (C))， 
此 时 密 钥 长 度 为 168b。 目 前 这 种 加 密 方式 已 经 被 一 些 网 络 应 用 采用 ,例如 PGP 和 S/MIME 
就 采用 了 这 种 方案 。 
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P 一 -| EF |4-| Dp 二 -| 5 | 
(a) 加 密 
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c 一 -| D He 5 He bp [2 
(b) 解密 


图 2.11 三 重 DES 算法 过 程 


2.4.5 高 级 加 密 标 准 AES 


AES 是 美国 国家 标准 技术 研究 所 NIST 旨 在 取代 DES 的 新 一 代 的 加 密 标 准 。NIST 
对 AES 候选 算法 的 基本 要 求 是 : 对 称 分 组 密码 体制 ; 密 钥 长 度 支持 128、192、256 位 ; 明文 
分 组 长 度 128 位 ; 算法 应 易于 各 种 硬件 和 软件 实现 。1998 年 NIST 开始 AES 第 一 轮 征集 、 
分 析 、 测 试 ,共产 生 了 15 个 候选 算法 。1999 年 3 月 完成 了 第 二 轮 AES 的 分 析 、 测 试 。1999 
年 8 月 NIST 公布 了 5 种 算法 (MARS、RC6、Rijndael、Serpent、Twofish) 成 为 候选 算法 。 最 
后 ,Rijndael, 这 个 由 比利时 人 设计 的 算法 与 其 他 候选 算法 在 为 高 级 加 密 标准 (AES) 的 竞争 
中 取得 成 功 , 于 2000 年 10 月 被 NIST 宣布 成 为 取代 DES 的 新 一 代 的 数据 加 密 标准 , 即 
AES。 尽 管 人 们 对 AES 还 有 不 同 的 看 法 .但 总 体 来 说 ,Rijndael 作为 新 一 代 的 数据 加 密 标 
准 汇聚 了 强 安全 性 、 高 性 能 、 高 效率 、 易 用 和 灵活 等 优点 。AES 设计 有 三 个 密 钥 长 度 : 
128b、192b、256b, 相 对 而 言 ,AES 的 128b 密 钥 比 DES 的 56b 密 钥 强 102 倍 。 

AES 的 128 位 输入 可 以 看 成 一 个 4X4 矩阵 S, 这 个 矩阵 称 为 “状态 ”CState) 。 例 如 ,假设 
输入 为 16 个 字 节 b ,6 ,… ,bs ,这 些 字 节 在 状态 中 的 位 置 及 其 用 和 矩阵 的 表示 如 表 2. 15 所 示 。 
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表 2.15 AES 中 状态 的 位 置 及 其 矩阵 表示 














(a) (b) 
S00 So 30,2 So0,3 bo bs bs bs 
S10 S11 S12 S13 b bs bs bs 
52,0 S21 52,2 S2,3 2 bs bo bu 
S30 S31 S32 S33 bs br bu bs 





























AES 算法 属于 分 组 密码 算法 , 它 的 输入 分 组 、 输 出 分 组 以 及 加 /解密 过 程 中 的 中 间 分 组 
都 是 128 位 。 本 书 用 N, 表示 对 一 个 数据 分 组 加 密 的 轮 数 ,N, 依赖 于 密 钥 长 度 , 密 钥 长 度 
为 128 位 ,NN,= 二 10; 密 钥 长 度 为 192 位 , NN, 二 12; 密 钥 长 度 为 256 位 , NN, 二 14。 下 面 以 分 组 
长 度 为 128 位 、 密 钥 长 度 为 128 位 , 即 加 密 轮 数 10 为 例 ,介绍 AES 算法 加 密 与 解密 的 过 程 。 

1) 加 密 过 程 

如 图 2. 12 所 示 ,加 密 算法 的 4 个 步骤 如 下 。 








































































































































































































明文 明文 
六 文 密 钥 Key 
AddRoundKey wp AddRoundKey 
1 JnvSi 可 和 
SubBytes a 了 yes 办 
第 ShifiRows InvShiftRows 
和 i : 
MixColumns InvMixColumns 
AddRoundKey sa AddRoundKey 
第 
9 
: InvSubBytes pe 
1 pr 轮 
~ InvShiftfRows 
第 ShiftRows 
9 s 
轮 MixColumns 4 
InvMixColumns 
AddRoundKey a i 
i t 第 
SubBytes InvSubBytes 轮 
第 ShiftRows InvShiftRows 
10 
轮 1 1 
AddRoudKey Ei AddRoundKey 


图 2.12 AES 算法 加 密 和 解密 流程 
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(1) 给 定 一 个 明文 <, 将 State 初始 化 为 xz, 并 进行 轮 密 钥 (AddRoundKey) 操 作 , 该 操作 
是 将 轮 密 钥 与 State 进行 异 或 。 

(2) 执行 N, 一 1 轮 操作 ,每 轮 涉及 如 下 操作 步骤 : 对 当前 的 State 进行 S 盒 变换 操作 
(SubBytes) , 行 移 位 (ShiftRows) 、 列 混淆 操作 (MixColumns) 以 及 轮 密 钥 (AddRoundKey) 
操作 。 

(3) 在 最 后 一 轮 , 对 当前 的 State 进行 SubBytes、ShiftrRows、AddRoundKey 操作 。 

(4) State 中 的 内 容 即 为 密 文 。 

上 述 加 密 过 程 涉及 了 5 个 重要 操作 : 

(1) AddRoundKey 一 轮 密 钥 加 变换 操作 。 将 输入 或 状态 State 中 的 每 一 个 字 节 分 别 与 
产生 的 密 钥 的 每 一 个 字 节 进行 异 或 操作 。 

(2) SubByte 一 S 盒 变换 操作 。SubByte 操作 是 一 个 基于 S 盒 的 非 线 性 置换 ,S 盒 是 一 
个 16 行 16 列 的 矩阵 ,矩阵 中 每 个 元 素 为 一 个 字 节 ,如 表 2. 16 所 示 。 将 State 状态 中 的 每 一 
个 字 节 通过 查 表 操 作 映射 成 另 一 个 字 节 。 上 映射 方法 是 : 输入 字 节 的 高 4 位 作为 S 盒 的 行 
值 \ 低 4 位 作为 S 盒 的 列 值 ,然后 取出 S 盒 中 对 应 的 行 和 列 的 值 作为 输出 。 例 如 ,输入 为 
11000100 时 , 行 值 为 c, 列 值 为 4( 十 六 进 制 ),S 盒 中 相应 位 置 上 的 值 为 "1c”, 这 样 11000100 
就 被 映射 成 了 00011100 。 


表 2.16 S 盒 变换 (十 六 进 制 ) 
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(3) ShiftRows 一 行 移 位 操作 。 行 移 位 的 原则 是 : 中 间 状 态 和 矩阵 State 的 第 0 行 不 动 ， 
第 1 行 循环 左 移 1 个 字 节 ,第 2 行 循环 左 移 2 个 字 节 ,第 3 行 循环 左 移 3 个 字 节 ,如 图 2. 13 
所 示 。 
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So So So So.s So So So Sos 

So Si Si Sa S11 Si Si,s Sio 

So S21 S,, S:3 S:. Ss S,.o Se 

Si Ss Si Ss.s Ss.s Ss Ss Si 
(Ca) S (Cb) S 


图 2.13 ShiftRows 完成 行 移 位 操作 


(4) MixColumns 一 列 混合 变换 操作 。 对 中 间 状 态 和 矩阵 State 逐 列 进行 变换 。 
Soc 02 03 01 01\fSoc 
Sic 01 02 03 01||Sc 
Sz.c 01 01 02 03|| S:c 
S3,c 03 01 01 02 八 S:c 
(5) 密 钥 扩展 。 根 据 加 密 的 轮 数 用 相应 的 扩展 密 钥 的 4 个 数据 项 和 中 间 状 态 和 矩阵 上 的 
列 进行 按 位 异 或 。 首 先 定义 几 个 数组 和 操作 。 
@ w[ 门 : 存放 生成 的 密 钥 。 
@ Reon[ 疏 : 存放 前 10 个 轮 常数 RC[ 门 的 值 (用 十 六 进 制 表示 ), 见 表 2. 17。 其 对 应 的 
Reon[ 门 见 表 2. 18。Reon[i]==(RC[i],“00?,“00?, 00”),RC[0]= “01’,RC[i]=2RC[i 一 1]。 
@@ RotWord() 操 作 : 循环 左 移 1 个 字 节 ,将 (bo6515,65s) 变 成 (b16s63bo)。 
@ SubWord() 操 作 : 基于 S 盒 对 输入 字 中 的 每 个 字 节 进行 S 代替 。 


表 2.17 RC[ 门 中 的 值 





表 2.18 Recon[ 疏 中 的 值 


























i 1 2 3 4 5 
Rcon[ 林 01000000 02000000 04000000 08000000 10000000 
i 6 时 8 9 10 
Reon[] 20000000 40000000 80000000 1b000000 36000000 


AES 算 法 利用 外 部 输入 密 钥 ,通过 密 钥 扩展 程序 得 到 共 4(N; 十 1) 字 的 扩展 密 钥 
w[L4X(N, 十 1)]。 密 钥 扩 展 涉 及 如 下 三 个 模块 的 具体 步骤 : 
(1) 初始 密 钥 直接 被 复制 到 数组 w[ 站 的 前 4 个 字 节 中 ,得 到 w[0]、w[1]、w[2]、w[3]。 

(2) 对 zw 数组 中 下 标 不 为 4 的 倍数 的 元 素 , 只 是 简单 地 异 或 , 即 : 

w[ 让 二 w[i 一 1]@ w[i 一 4](i 不 为 4 的 倍数 )。 

(3) 对 z 数 组 中 下 标 为 4 的 倍数 的 元 素 , 在 使 用 上 式 进行 异 或 前 , 需 对 w[i 一 1] 进 行 一 
系列 处 理 , 即 依次 进行 RotWord、SubWord 操作 ,再 将 得 到 的 结果 与 Reon[i/4j 进 行 异 或 
运算 。 

2) 解密 过 程 

如 图 2. 12 所 示 ,基本 运算 中 除 轮 密 钥 AddRoundKey 操作 不 变 外 ,其 余 操作 ,包括 S 盒 
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变换 操作 CSubBytes)、 行 移 位 (ShiftRows)、 列 混 消 操作 (MixColumns) 都 要 求 进 行 求 逆 变 
换 , 分 别 记 作 InvSubBytes、InvShiftRows、InvMixColumns。 

在 不 同 的 安全 系统 中 ,还 存在 着 其 他 对 称 加 密 算法 ,其 中 包括 : 

(1) IDEA。 国 际 数据 加 密 算 法 (International Data Encryption Algorithm) 是 由 旅居 瑞 
士 的 华人 来 学 嘉和 他 的 导师 J.L. Massey 共同 开发 的 。IDEA 使 用 128 位 密 钥 ,明文 和 密 文 
分 组 长 度 为 64 位 ,已 被 用 在 多 种 商业 产品 中 。 

(2) Blowfish。Blowfish 允许 使 用 最 长 为 448 位 的 不 同 长 度 的 密 钥 ,并 针对 在 32 位 处 
理 器 上 的 执行 进行 了 优化 。 

(3) Twofish。Twofish 使 用 128 位 分 组 ,可 以 使 用 128、192 或 256 位 密 钥 。 


2.5 公 钥 密码 体制 


2.5.1 公 钥 密码 体制 的 产生 


对 称 密码 体制 在 加 密 和 解密 时 ,使 用 的 是 同一 密 钥 ,或 者 虽然 使 用 不 同 的 密 钥 ,但 是 能 
通过 加 密 密 钥 方便 地 导出 解密 密 钥 ,因此 ,加 密 密 钥 是 整个 密码 通信 系统 的 核心 机 密 , 一 旦 
加 密 密 钥 被 暴露 ,整个 密码 体制 也 就 失去 了 安全 保密 作用 。 

随 着 信息 加 密 技术 的 应 用 领域 从 单纯 的 军事 、 外 交 、 情 报 领域 ,扩大 到 商业 、 金 融 、 计 算 
机 通信 和 网络 中 的 信息 保密 等 民用 领域 ,对 称 密码 体制 在 应 用 中 暴露 出 越 来 越 多 的 缺陷 。 

1. 密 钥 管 理 十 分 困难 

密 钥 管 理 是 对 称 密码 体制 过 到 的 最 大 困难 之 一 。 在 以 对 称 密码 体制 为 基础 的 保密 通信 
中 ,通信 双方 需要 在 通信 开始 前 分 配 相 同 的 密 钥 , 当 用 户 数量 很 大 时 ,互相 之 间 通 信和 需要 大 
量 密 钥 。 如 在 一 个 民用 通信 网 中 ,如 果 用 户 数 为 n, 为 了 实现 用 户 两 两 之 间 的 保密 通信 , 系 
统 需 要 管理 n(n 一 1)/2 个 密 钥 , 当 等 于 1000 时 ,网 络 中 共 需 499 500 个 不 同 的 密 钥 , 产 
生 、 保 存 、 分 配 ,管理 如 此 大 量 的 密 钥 ,本身 就 是 一 个 难题 。 

2. 密 钥 传递 的 安全 性 无 法 保障 

对 称 密码 体制 由 于 加 解密 密 钥 相同 ,因此 在 传输 任何 密 文 之 前 ,发 送 者 和 接收 者 必须 使 
用 一 个 安全 信道 预先 传送 密 钥 ,受到 经 济 条 件 的 限制 ,每 两 个 用 户 之 间 都 建立 专用 的 秘密 信 
道 是 不 可 行 的 ,因此 保证 密 钥 传输 的 绝对 安全 在 实际 应 用 中 是 很 难 做 到 的 。 

3. 无 法 提供 不 可 否认 性 服务 

如 果 采 用 对 称 密码 机 制 进行 商业 往来 信息 的 加 密 , 由 于 消息 的 发 送 方 和 接收 方 均 拥有 
相同 的 密 钥 ,接收 方 完全 有 能 力 筑 改 接收 到 的 文件 或 伪造 文件 ,发 送 方 也 可 以 抵赖 他 曾 发 出 
文件 ,而 第 三 方 没有 足够 的 证 据 分 辩 实 情 。 

例如 ,用 户 甲 利用 商用 对 称 密码 通信 向 用 户 乙 订购 了 一 批 货物 ,用 户 乙 如 数 寄 出 ,后 来 
由 于 该 商品 价格 猛 跌 ,用 户 甲 抵赖 发 送 过 订单 ,拒绝 付款 ,这 样 甲乙 双方 就 发 生 和 争端, 由 于 采 
用 对 称 密码 体制 ,双方 都 拥有 相同 的 密 钥 ,因此 加 密 的 订单 双方 都 能 产生 ,用 户 乙 不 能 提供 
有 说 服 力 的 法 律 证 据 来 证 明 该 订单 是 用 户 甲 产生 并 发 送 的 ,此 人 案 法 院 无 法 受理 。 

对 称 密码 体制 存在 上 述 缺 陷 . 人 们 和 希望 能 设计 一 种 新 的 密码 ,从 根本 上 克服 对 称 密码 体 
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制 存在 的 问题 , 公 钥 密码 体制 的 出 现 正好 弥补 了 上 述 缺陷 。1976 年 美国 斯 坦 福 大 学 的 
Differ 和 Hellman 发 表 了 Ner Direction in Cryptography 一 文 , 第 一 次 提出 了 公 钥 密码 体 
制 的 思想 ,开创 了 密码 学 的 新 时 代 。 公 和 钥 密码 体制 的 出 现 是 密码 学 发 展 史上 的 一 次 革命 ,从 
古老 的 手工 密码 ,到 机 电 式 密码 ,直至 运用 计算 机 的 现代 对 称 密码 ,这 些 编码 系统 虽然 越 来 
越 复 杂 ,但 都 建立 在 基本 的 替换 和 置换 工具 的 基础 上 ,而 公 钥 密码 体制 的 编码 系统 是 基于 数 
学 函数 (例如 单 向 陷 门 函 数 ) 的 。 由 于 公 钥 密码 算法 不 需要 联机 密码 服务 , 密 钥 分 配 协 议 简 
单 ,所 以 极 大 地 简化 了 密 钥 管理 ,除了 加 密 功 能 外 , 公 钥 密码 还 可 以 提供 数字 签名 。 

自 1976 年 以 来 ,已 经 提出 了 多 种 公 钥 密码 算法 ,其 安全 基础 都 是 基于 一 些 在 短期 内 不 
可 能 得 到 解决 的 数学 难题 ,如 整数 因子 的 分 解难 题 至 今 已 有 数 千年 的 历史 ,可 以 认为 基于 这 
些 数学 难题 的 公 钥 密码 体制 是 安全 的 。 


2.5.2 公 钥 密码 体制 的 基本 原理 


1. 公 钥 密码 体制 的 基本 构成 


在 公 钥 密码 体制 中 密 钥 是 成 对 出 现 的 ,一 个 为 加 密 密 钥 ,一 个 为 解密 密 钥 , 且 不 可 能 从 
加 密 密 钥 推导 出 解密 密 钥 ,加 密 密 钥 通常 公开 发 布 ,而 解密 密 钥 则 需要 秘密 保存 。 

一 个 公 钥 密码 体制 由 4 部 分 构成 : 明文 (用 M 表示 ); 密 文 (用 C 表示 ); 公 钥 和 私 钥 
对 , 公 钥 用 于 加 密 , 记 为 K., 此 密 钥 公开 , 私 钥 用 于 解密 , 记 为 Ku, 此 密 钥 保 密 , 且 从 公 钥 很 
难 推导 出 私 钥 ; 加 、 解 密 算法 ,算法 公开 , 持 有 公 钥 的 任何 人 都 可 以 加 密 消息 ,只 有 持 有 私 钥 
的 人 才能 够 解密 。 

一 般 情况 下 ,网 络 中 的 用 户 预 先 约定 一 个 共同 使 用 的 公 钥 密码 系统 ,每 个 用 户 都 有 自己 
的 一 对 公 钥 和 私 钥 ,网 络 中 会 有 一 个 公开 的 数据 库 ,任何 用 户 都 可 以 把 自己 的 公 钥 发 布 到 公 
开 数 据 库 中 ,同时 可 以 从 该 数据 库 下 载 通 信 对 方 的 公 钥 。 基 于 公 钥 密码 体制 的 一 次 秘密 通 
信 过 程 如 图 2. 14 所 示 ,这 里 用 户 Alice 利用 公 钥 密码 系统 向 用 户 Bob 发 送 消息 ,具体 步骤 
描述 如 下 。 

(1) Alice 从 公开 数据 库 中 取出 Bob 的 公 钥 K.; 

(2) Alice 用 Bob 的 公 钥 加 密 消息 ,并 发 送 给 Bob: C=E(M,K.); 

(3) Bob 用 他 的 私 钥 Ku 解密 ,获得 Alice 发 送 的 消息 : M=D(C,Ka)。 


加 密 算法 























Alice Bob 
2.14 公 钥 密码 体制 下 的 秘密 通信 过 程 


2. 公 钥 密码 体制 的 优点 

相对 于 对 称 密码 体制 , 公 钥 密码 体制 具有 如 下 优点 。 

(1) 简化 了 密 钥 分 配 与 管理 。 在 对 称 密码 体制 中 加、 解密 密 钥 相同 ,用 户 两 两 通信 必 
须 采 用 不 同 的 密 钥 ,因此 在 采用 该 加 密 机 制 的 通信 网 中 ,需要 管理 的 密 钥 数量 大 ,而 采用 公 
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钥 密 码 体制 进行 保密 通信 ,每 个 用 户 只 需要 一 对 公私 钥 , 相 对 于 对 称 密码 体制 , 密 钥 的 分 配 
与 管理 得 到 了 简化 。 

(2) 密 钥 不 需 传递 。 在 对 称 密码 体制 中 ,由 于 加 、 解 密 密 钥 相 同 ,因此 在 通信 开始 之 前 ， 
需要 安全 传递 密 钥 到 接收 方 , 受 当 前 经 济 和 技术 条 件 的 限制 , 密 钥 传递 的 绝对 安全 性 无 法 得 
到 保证 。 而 在 公 钥 密码 体制 中 ,存在 一 对 密 钥 ,加密 密 钥 公开 ,解密 密 钥 自己 保存 ,不 涉及 密 
钥 的 保密 传递 ,降低 了 密 钥 泄露 的 风险 。 

(3) 能 提供 不 可 否认 性 服务 。 对 称 密码 体制 无 法 防止 通信 双方 的 相互 欺骗 ,而 公 钥 密 
码 体制 不 仅 可 以 实现 保密 通信 ,而 且 还 能 实现 提供 不 可 否认 性 服务 。 在 公 钥 密码 体制 中 ,用 
公 钥 加 密 的 信息 只 能 用 对 应 的 私 钥 解密 ,反之 亦 然 ,而 私 钥 是 用 户 私 密 保 存 的 ,因此 如 果 某 
密 文 能 用 该 用 户 的 公 钥 解密 , 则 可 说 明 该 消息 一 定 是 用 该 用 户 的 私 钥 加 密 的 ,而 私 钥 只 有 该 
用 户 知道 ,任何 其 他 人 都 无 法 伪造 ,所 以 该 消息 一 定 来 自 该 用 户 , 无 法 抵赖 。 提 供 此 功能 的 
公 钥 密码 算法 称 为 数字 签名 ,后 续 章 节 会 详细 介绍 。 

3. 公 钥 密码 体制 应 该 满足 的 要 求 

Differ 和 Hellman 同时 在 文中 给 出 了 公 钥 密码 体制 应 该 满足 的 要 求 : 

(1) 用 户 产 生 一 公私 钥 对 (Prk ,Sx ) 在 计算 上 是 容易 的 。 

(2) 发 送 方 利用 接收 方 的 公 钥 Pk 对 消息 M 进行 加 密 产生 密 文 C, 即 C==Ep [LM]j 在 计 
算 上 是 容易 的 。 

(3) 接收 方 利用 自己 的 私 钥 Sk 对 密 文 C 解密 , 即 M 二 Ds [Cj], 在 计算 上 是 容易 的 。 

上 面 的 三 个 条 件 是 公 钥 密码 体制 的 工程 实用 条 件 , 因 为 只 有 算法 高 效 , 密 码 才 能 实际 应 
用 ,否则 ,只 有 理论 意义 而 无 实用 价值 。 

(4) 攻击 者 由 公开 密 钥 Pk 求 私 钥 Sk 在 计算 上 不 可 行 。 

这 个 条 件 是 公 钥 密码 的 安全 条 件 ,是 公 钥 密码 的 安全 基础 ,也 是 最 难 满足 的 一 个 条 件 。 

(5) 加 、 解 密 操作 的 次 序 可 以 互 换 , 即 Ep [Ds (M)]=Ds [Es (M)]。 

自 1976 年 公 钥 密码 的 思想 被 Differ 和 Hellman 提出 后 ,由 于 其 优良 的 密码 学 特性 和 
广阔 的 应 用 前 景 ,吸引 了 全 世界 的 密码 爱好 者 ,他 们 提出 了 各 种 各 样 的 公 钥 密 码 算法 和 应 用 
方案 ,密码 学 进入 了 一 个 空前 繁荣 的 时 代 。 然 而 研究 公 钥 密码 并 非 易 事 , 尽 管 提出 的 方案 有 
很 多 ,但 能 经 受 得 住 时 间 考 验 的 却 寥寥 无 几 。 经 过 三 十 多 年 的 研究 和 发 展 ,目前 世界 公认 的 
比较 安全 的 公 钥 密码 有 RSA 和 ElGamal 密码 类 。RSA 算法 的 安全 性 基于 100 位 十 进 制 数 
以 上 的 大 整数 的 素数 因子 分 解难 题 ,这 是 一 个 至 今 没 有 有 效 快 速算 法 的 数学 难题 。 
ElGamal 的 安全 性 基于 计算 离散 对 数 的 困难 性 ,离散 对 数 问题 是 指 模 指数 运算 的 逆 问 题 , 即 
找 出 一 个 数 的 离散 对 数 , 而 计算 离散 对 数 是 非常 困难 的 。 


2.5.3 RSA 公 钥 密码 体制 


RSA 是 在 1977 年 由 美国 麻 省 理工 学 院 的 三 位 科学 家 Ron Rivest、Adi Shamir 和 
Leonard Adleman 提出 的 非常 著名 的 公 钥 密码 算法 ,RSA 这 个 名 字 就 来 自 他 们 的 姓名 
缩写 。 

RSA 算法 的 安全 性 基于 数论 中 将 大 整数 分 解 成 素数 乘积 的 困难 性 ,只 要 其 密 钥 长 度 足 
够 长 ,用 RSA 加 密 的 信息 实际 上 是 不 能 被 破解 的 。 到 目前 为 止 , 世 界 上 还 没有 任何 可 靠 的 
攻击 RSA 算法 的 方式 。 
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RSA 密码 既 可 用 于 加 密 , 又 可 用 于 数字 签名 ,RSA 密码 已 经 成 为 目前 应 用 最 为 广泛 的 
公 钥 密码 。 许 多 国际 标准 化 组 织 , 如 ISO、ITU 等 都 已 经 将 RSA 作为 标准 。Internet 上 的 
E-mail 保密 系统 以 及 国际 VISA 和 MASTER 组 织 的 电子 商务 协议 SET 都 将 RSA 作为 传 
送 会 话 密 钥 和 数字 签名 的 标准 。 

1. RSA 算法 


如 果 把 加 密 算法 看 作 函 数 、 把 明文 看 作 定义 域 .把 密 文 看 作 值 域 ,那加 密 就 是 求 函数 
F(X) ,解密 实际 上 就 是 F(X) 的 逆 F ICX)。 

如 果 我 们 找到 一 个 函数 , 求 R(X) 容易 , 求 F-:(X) 难 ,这 意味 着 只 能 加 密 、 不 能 解密 ,这 
样 的 函数 我 们 称 为 单 向 函数 。 简 单 来 讲 , 单 向 函数 就 像 是 我 们 把 蓝 色 的 颜料 和 红色 的 颜料 
混合 在 一 起 很 容易 ,但 是 混合 完了 之 后 再 想 分 开 就 非常 困难 了 。 单 向 函数 只 能 加 密 不 能 解 
密 是 没有 意义 的 。 如 果 这 个 单 向 函数 在 知道 某 些 信息 的 情况 下 可 以 求 出 逆 函 数 , 那 不 就 可 
以 实现 解密 了 吗 ? 我 们 把 这 种 信息 称 为 陷 门 ,知道 它 能 够 解密 ,不 知道 它 无 法 解密 ,把 存在 
陷 门 的 函数 称 为 单 向 陷 门 函数 。 所 谓 单 向 陷 门 函数 就 是 在 不 知 陷 门 信息 下 是 单 向 函数 , 当 
知道 陷 门 信息 后 , 求 逆 是 易于 实现 的 。 

如 果 我 们 找到 这 个 单 向 陷 门 函数 ,发 送 方 就 可 以 利用 这 个 单 向 陷 门 函数 来 做 加 密 , 但 只 
有 接收 方才 能 利用 不 公开 的 陷 门 来 解密 从 而 实现 加 解密 分 离 。 这 样 我 们 的 目标 就 转变 为 寻 
找 一 个 单 向 陷 门 函数 ,也 就 是 把 一 个 密码 学 问题 转换 成 了 一 个 数学 问题 。 

RSA 算法 采用 模 函数 M* mod n 构造 单 向 函数 ,在 加 密 时 ,明文 M 经 过 加 密 运 算得 到 
密 文 C= 二 M* mod me 为 加 密 密 钥 。 

密 文 经 过 解密 得 到 明文 M: Ce mod n 二 (M* mod n)* mod xz 一 Me mod 2 一 M,d 为 解密 
密 钥 。 

即 必须 存在 ed nn, 使 M” mod 2 一 M 成 立 。 这 里 以 ze 为 公 钥 , 私 钥 为 dd。 那么 ,现在 
的 问题 是 ,如 何 才能 找到 能 够 使 M” mod 一 M 成 立 的 参数 ed.n 呢 ?7 这 就 需要 借助 数论 
中 的 欧 拉 函数 和 欧 拉 定理 。 

欧 拉 函数 : 小 于 nn 且 与 n 互 素 的 正 整 数 的 个 数 , 记 为 B(n)。 如 果 是 素数 则 @(n) 二 
n 一 1, 若 n= 二 pXg(p.g 都 是 素数 ), 则 B(n)==B(pXg)=B(p)X@B(g)=(p—1)X(g—1)。 

欧 拉 定理 : 对 于 任意 互 素 的 整数 M 和 nw, 有 M*”" 三 1 mod n, 这 里 B(n) 为 欧 拉 函数 。 

根据 欧 拉 定理 ,有 M*1! 圭 M mod n, 这 样 ,为 了 使 M” mod 2 一 M 成 立 , 需 要 满足 
ed 二 KB(n) 十 1, 也 即 ed mod B(n) 二 1, 满 足 上 式 的 ed 一 定 存在 吗 ? 根据 数论 中 的 乘法 逆 
元 定义 : 

如 果 a,b 互 为 素数 ,存在 a-! 使 得 (aXa 1)mod 0 一 1。 

如 果 e 和 GB(n) 互 素 , 则 一 定 存在 d, 使 得 ed mod @B(n) 二 1 成 立 。 这 样 如 果 选 取 两 大 素 
数 p 和 g,n 二 pXg, 计 算 n 的 欧 拉 函 数值 B(n) 二 (p 一 1)X(g 一 1) ,随机 选择 一 整数 e, 使 得 
1 二 e 过 Bm) 和 gcd($B(n) ,e) 二 1 成立, 计算 e 模 GB(n) 的 乘法 道 元 , 即 为 4d: ed 三 1 mod B(n), 将 e 
入 作为 公 钥 公 开 , 攻 击 者 由 已 知 的 公 钥 获 得 私 钥 d 的 唯一 途径 是 求 得 @B(n) ,而 求 B(7) 必 
须 将 n 分 解 成 两 个 素数 的 乘积 ,这 是 数论 中 的 难题 ,没有 有 效 的 解决 方法 ,由 此 保证 了 算法 
的 安全 性 。 

根据 上 述 原 理 ,RSA 算法 流程 可 描述 如 下 。 

(1) 选 两 个 保密 的 大 素数 p 和 g (各 为 100 一 200 位 十 进 制 数 )。 
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(2) 计算 n= 二 pXg,8B(n) 二 (p 一 1)X(g 一 1) ,其 中 B(x) 是 的 欧 拉 函 数值 。 

(3) 选 一 整数 e, 满 足 1 二 e 二 B(n) 和 gcd(B(n),e) 二 1 成 立 。 

(4) 计算 d ,满足 ed=1 mod B(n)。 即 d 是 e 在 模 @B(n) 下 的 乘法 逆 元 , 因 e 与 $B(n) 互 
素 , 由 模 运 算 可 知 , 它 的 乘法 逆 元 一 定 存 在 。 

(5) 以 {esn}) 为 公 钥 ,{d,n 为 私 钥 } 。 

【 例 2-8〗 已 知 p= 二 7,g 二 17, 明 文 m 二 19, 求 用 RSA 加 密 后 的 密 文 。 

解 : 

求 得 n=pXg=119,8(n)= (p—1)X(g—1)=96 

取 e=5, 满 足 1 二 e 二 @(n), 目 gcd($B(n),e) 二 1。 确 定 满足 ed 三 1 mod 96 且 小 于 96 的 
d, 因 为 77X5==385 二 4X96 十 1, 所 以 d=77。 

因此 公 钥 为 {5,119), 私 钥 为 {77,119) ,明文 为 m= 二 19, 则 密 文 为 : 

C=195 mod 119 一 66 

解密 为 66” mod 119 王 19 

2. RSA 的 安全 性 

RSA 算法 的 加 密 函 数 是 一 个 单 向 函数 ,所 以 对 于 攻击 者 来 说 ,试图 解密 密 文 在 计算 上 
是 不 可 行 的 ,因此 对 于 RSA 算法 的 攻击 方法 有 如 下 几 种 。 

(1) 穷 举 法 : 也 就 是 尝试 所 有 的 私 钥 。 抵 御 穷 举 攻击 的 方法 是 使 用 长 的 密 钥 。 例 如 
RSA 目前 建议 的 密 钥 长 度 为 2048 位 ,但 是 密 钥 长 度 的 增加 也 增加 了 加 密 、 解 密 的 复杂 性 ， 
运行 速度 也 会 受到 较 大 影响 。 

(2) 利用 数学 分 析 来 进行 破解 : RSA 算法 及 公 钥 en 公开 ,用 于 解密 的 私 钥 d 和 公 
之 间 满 足 ed 三 1 mod @(z) ,因此 攻击 者 为 了 获得 私 钥 d, 必 须要 能 由 计算 Bn), 而 
Bn) 二 (p 一 1)X(g 一 1),n 二 pXgq, 所 以 数学 攻击 法 实质 上 是 试图 把 大 整数 分 解 为 两 个 素数 
的 乘积 。 虽 然 大 合 数 因子 分 解 十 分 困难 ,但 随 着 科学 技术 的 发 展 , 人 们 对 大 合 数 因子 分 解 的 
能 力 在 不 断 提 高 ,而 且 分 解 需要 的 成 本 在 不 断 下 降 。 继 1994 年 4 月 RSA-129 被 破译 ,1996 年 
4 月 RSA-130 也 被 破译 。1999 年 2 月 由 美国 荷兰 .英国 法国 和 澳大利亚 的 数学 家 和 计算 
机 专家 ,通过 Internet 网 ,历时 1 个 月 ,成 功 分 解 了 140 位 的 大 合 数 ,破译 了 RSA-140, 同 年 
RSA-155 被 破解 。2002 年 ,RSA-158 也 被 成 功 因数 分 解 ; 2005 年 ,RSA-200 被 破解 。 因 此 
我 们 今天 要 使 用 RSA 密码 ,首先 应 当 采 用 足够 大 的 整数 ,普遍 认为 ,n 至 少 应 该 1024 位 ， 
最 好 2048 位 。 估 计 在 未 来 一 段 比较 长 的 时 期 , 密 钥 长 度 介 于 1024 一 2048 位 之 间 的 RSA 是 
安全 的 。 











2.6 消息 认证 


为 达到 某 种 目的 ,攻击 者 会 采取 各 种 攻击 方法 对 信息 系统 进行 攻击 ,这些 攻击 方法 分 为 
两 类 : 被 动 攻击 和 主动 攻击 。 被 动 攻击 以 获取 信息 为 目的 ,不 对 数据 信息 作 任何 自 改 ,破坏 
消息 的 机 密 性 ,前面 介 绍 的 加 密 技 术 可 以 预防 被 动 攻击 。 而 主动 攻击 通过 冒充 . 重 放 、 算 改 
等 手段 改变 发 送 的 消息 ,破坏 了 消息 的 完整 性 ,例如 当 合法 用 户 A 和 也 在 传递 消息 时 ,通信 
链 上 的 恶意 攻击 者 C, 可 能 通过 资 取 用 户 密码 等 方式 假冒 A 的 身份 向 C 发 送 消息 ; 可 能 截 
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获 消息 并 将 消息 自 改 后 再 发 送 给 B; 也 可 能 伪造 一 条 消息 发 送 给 B; 或 者 是 把 消息 M 保存 
下 来 ,在 某 个 特定 的 时 间 再 发 送 给 用 户 B, 这 种 攻击 形式 称 为 消息 的 延迟 ; 也 可 能 在 以 后 的 
时 段 中 多 次 将 截获 的 消息 M 发 送 给 B, 这 种 攻击 形式 称 为 消息 的 重 放 , 以 上 是 主动 攻击 的 
主要 方式 ,认证 是 发 现 和 检测 主动 攻击 的 重要 手段 。 

认证 的 目的 有 两 个 : 第 一 ,验证 消息 的 发 送 者 和 接收 者 是 合法 的 ,不 是 冒充 的 ,这 称 为 
实体 认证 或 身份 认证 ,具体 技术 包括 口令 、 智 能 卡 、 指 纹 、 视 网 膜 等 手段 ; 第 二 是 验证 消息 本 
身 的 完整 性 , 称 为 消息 认证 ,验证 消息 在 传送 或 存储 过 程 中 是 否 被 算 改 ,伪造 、 重 放 或 延迟 
等 。 身 份 认 证 在 后 续 章 节 中 会 介绍 ,本 节 主 要 介绍 消息 认证 技术 。 

消息 认证 通过 认证 符 来 认证 消息 的 完整 性 ,认证 符 由 消息 的 发 送 方 通过 认证 函数 产生 ， 
并 传递 给 接收 方 ,接收 方 通过 验证 认证 符 以 鉴别 收 到 消息 的 真实 性 。 对 一 个 消息 认证 系统 
而 言 , 关 键 在 于 认证 函数 的 选择 , 即 如 何 根据 需要 传输 的 消息 产生 能 够 对 该 消息 进行 鉴别 的 
认证 符 , 认 证 函数 主要 有 以 下 三 类 。 

(1) 加 密 函 数 : 对 消息 进行 加 密 得 到 密 文 ,用 密 文 作为 消息 认证 符 。 

(2) 消息 认证 码 MAC(Message Authentication Code) : 消息 认证 码 是 基于 消息 和 密 钥 
的 公开 函数 , 它 产生 定 长 的 值 , 将 该 值 作为 认证 符 。 

(3) 散 列 函 数 (Hash Function) : 散 列 函 数 能 将 任意 长 的 消息 映射 成 小 的 固定 长 度 的 消 
息 , 该 消息 用 作 认 证 符 ,映射 过 程 不 需 密 钥 的 参与 。 


2.6.1 消息 加 密 认证 


对 消息 进行 加 密 不 仅 可 以 实现 保密 通信 ,也 可 以 达到 对 消息 进行 认证 的 目的 ,我 们 主要 
讨论 对 称 密码 体制 如 何 实现 认证 。 

如 图 2. 15 所 示 ,采用 对 称 密码 体制 进行 消息 认证 ,用 户 A、B 在 通信 之 前 ,首先 商定 密 
钥 开 ,消息 M 经 对 称 加 密 算 法 加 密 后 传送 给 B, 例 如 发 送 方 发 送 的 明文 为 “端午 节 子 时 在 南 
京 火车 站 会 合 ”, 如 果 攻 击 者 截获 了 传输 的 密 文 信息 ,由 于 不 知道 密 钥 ,因此 不 知道 如 何 更 改 
密 文 中 的 信息 才能 使 明文 产生 预期 的 改变 ,所 以 只 能 通过 任意 修改 消息 以 破坏 消息 。 接 收 
方 如 何 判 断 消息 是 否 被 自 改 过 呢 ? 如 果 消 息 M 是 具有 某 种 语法 特征 的 文本 , 则 B 可 通过 分 
析 解 密 后 的 消息 是 否 具有 合理 的 语法 结构 来 判断 消息 是 否 完整 ,没有 被 算 改 过 的 消息 通常 
有 正确 的 语言 结构 和 一 定 的 含义 ,而 算 改 后 的 消息 几乎 不 青 具有 合理 的 语法 结构 ,通过 这 一 
点 可 以 判断 消息 是 否 被 自 改 过 ,例如 如 果 收 到 的 消息 经 解密 后 为 “端午 。* iipp 一 会 合 ”, 则 
可 判断 该 消息 被 纂 改 了 。 
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图 2.15 对 称 密码 体制 下 的 加 密 认 证 
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如 果 消 息 M 没有 明显 的 语法 结构 或 特征 ,例如 二 进 制 序列 ,采用 上 述 方法 则 无 法 判断 
消息 是 否 被 自 改 ,为 了 解决 这 个 问题 ,可 强制 使 明文 具有 某 种 结构 ,例如 可 在 消息 上 附加 一 
个 错误 检测 码 FCS, 该 错误 检测 码 根据 明 文 信息 和 公开 的 函数 下 产生 ,与 消息 串 接 后 进行 
加 密 并 传输 ,接收 方 在 接收 到 信息 后 首先 进行 解密 ,分 离 出 消息 和 FCS, 然 后 利用 函数 下 对 
解密 后 的 消息 重新 计算 FCS, 如 果 跟 传输 过 来 的 FCS 相同 的 话 , 则 说 明 消息 没有 被 算 改 , 否 
则 说 明 消息 被 算 改 过 , 见 图 2. 16。 
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图 2.16 利用 错误 控制 码 的 加 密 认证 


采用 加 密 函 数 实现 认证 ,加 密 函 数 身 兼 数 职 , 既 要 保证 数据 传输 的 保密 性 ,又 要 认证 报 
文 的 真实 性 。 由 于 加 密 函 数 为 了 保证 机 密 性 通常 设计 复杂 、 计 算 代价 大 ,而 在 有 些 情况 下 ， 
只 需要 保证 信息 传输 的 真实 性 ,而 不 需要 机 密 性 ,例如 政府 或 者 权威 部 门 的 公告 ,如 果 将 认 
证 与 加 密 分 离 则 能 够 提供 功能 上 的 灵活 性 ,下 面 介绍 单纯 提供 真实 性 的 认证 机 制 一 一 消息 
认证 码 和 散 列 函数 。 


2.6.2 消息 认证 码 


消息 认证 码 是 一 种 密 钥 相 关 的 认证 技术 , 它 将 密 钥 和 消息 一 起 代入 认证 函数 ,计算 出 一 
个 固定 长 度 的 短 数据 块 , 称 为 MAC, 发 送 时 将 MAC 附加 在 消息 之 后 ,一 起 发 送 给 接收 方 。 
由 于 这 种 验证 方式 需要 密 钥 的 参与 ,而 密 钥 只 有 通信 双方 知道 ,因此 采用 消息 认证 码 不 仅 可 
以 验证 消息 的 完整 性 ,而 且 还 能 对 消息 的 发 送 方 进行 验证 ,具体 认证 过 程 如 图 2. 17 所 示 。 

















a Ye 接收 端 B8 
J 网 络 ! 
| | 算法 
忌 
& 7 We C0 
、》 A 











密 钥 K 














鉴别 结果 
图 2.17 MAC 的 基本 用 法 


设 M 是 发 送 方 要 发 送 的 消息 ,K 是 通信 双方 共享 的 密 钥 , 则 MAC 二 Cx (MD) ,这 里 ,C 是 
MAC 函数 , 它 将 任意 长 的 消息 映射 成 短 的 定 长 的 消息 认证 码 MAC。 发 送 方 将 消息 M 和 认证 
符 MAC 串 接 后 一 起 发 送 给 接收 方 。 接 收 方 在 收 到 消息 后 ,分 离 出 消息 M 和 MAC, 根 据 密 钥 、 
收 到 的 消息 M 重新 计算 MAC ,并 检查 是 否 与 传 过 来 的 MAC 一 致 。 如 果 两 者 相等 , 则 接收 者 
可 以 确信 消息 M 未 被 算 改 ,因为 如 果 攻 击 者 改变 了 消息 ,由 于 不 知道 密 钥 有 ,无 法 生成 正确 的 
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MAC ,并且 ,如 果 接 收 者 重新 计算 得 到 的 MAC 值 与 传送 过 来 的 MAC 值 一 致 的 话 ,也 可 以 确信 
消息 来 自 真正 的 发 送 方 ,因为 其 他 人 由 于 没有 密 钥 不 能 产生 和 原始 消息 相对 应 的 MAC。 

MAC 函数 与 前 面 介绍 的 加 密 函 数 类 似 ,在 计算 时 都 需要 明文 、 密 钥 的 参与 ,不 同 之 处 
在 于 MAC 算法 不 要 求 可 逆 性 ,而 加 密 算 法 必须 可 逆 , 且 相对 于 加 密 函 数 来 说 ,MAC 的 计算 
代价 小 ,更 适合 进行 消息 完整 性 的 认证 。 

在 图 2.17 中 ,消息 本 身 在 传送 时 没有 经 过 加 密 . 不 提供 机 密 性 ,如 果 同 时 需要 机 密 性 ， 
可 以 利用 对 称 密码 体制 或 者 公 钥 密码 体制 对 消息 进行 加 密 。 

对 消息 认证 码 的 攻击 主要 有 两 种 方法 : 其 一 是 攻击 密 钥 ,试图 找到 计算 MAC 的 密 钥 ; 
其 二 是 攻击 MAC 函数 的 算法 ,找到 其 弱点 。 我 们 主要 讨论 攻击 密 钥 的 方法 。 

MAC 将 任意 长 的 消息 映射 为 短 的 定 长 数据 块 ,定义 域 空间 大 于 值 域 空间 ,因此 MAC 
函数 是 多 对 一 的 函数 , 即 多 个 不 同 的 消息 可 能 映射 到 相同 的 MAC 码 , 这 将 会 增加 密 钥 攻击 
的 难度 。 如 何 找到 MAC 的 密 钥 呢 ? 假设 攻击 者 已 获得 消息 的 明文 和 相应 的 MAC, 即 已 知 
(Mi ,MAC;) , 现 要 用 穷 举 法 来 破解 密 钥 , 设 密 钥 长 度 为 &,MAC 的 长 度 是 ,通常 k 记 nn, 则 
所 有 可 能 的 密 钥 个 数 是 2 、 所 有 可 能 的 MAC 个 数 为 2" 个 ,因此 大 约 有 2 生 " 个 密 钥 对 应 相 
同 的 MAC 码 , 这 些 密 钥 中 哪个 是 正确 的 密 钥 呢 , 需 要 经 过 多 轮 测试 才能 找到 正确 的 密 钥 ， 
穷 举 攻击 过 程 如 下 。 

第 一 轮 : 

已 知 (M ,MAC) ,for i==1 to 2 ,试探 MAC = 二 Ck (Mi) ,匹配 数 之 2 " ,无 法 确定 真正 
的 密 钥 ; 

第 二 轮 : 

已 知 (Ms ,MAC: ) ,for i==1 to 2 入 " ,试探 MAC: = 二 Ck (Ms) ,匹配 数 之 24 和 2" ,无 法 确定 
真正 的 密 钥 ; 





大 约 需要 &/n 轮 才能 找 出 一 个 唯一 正确 的 密 钥 ,所 以 用 穷 举 法 攻破 MAC 比 攻破 加 密 
算法 要 困难 得 多 。 


2.6.3 Hash 函数 


1. 安全 散 列 函数 的 结构 

Hash 函数 又 称 为 散 列 函 数 或 杂凑 函数 ,是 一 种 能 将 不 定 长 的 输入 映射 成 定 长 输出 的 
特殊 函数 , 记 为 4 二 HCM) ,其 中 M 为 消息 ,其 长 度 可 为 任意 ,h 称 为 散 列 值 . 哈 希 值 或 消息 
摘要 ,长 度 一 定 , 通 常 为 128 位 或 160 位 ,生成 散 列 值 时 不 需要 密 钥 。 由 于 散 列 函 数 输入 的 
长 度 是 任意 的 ,因此 要 求 散 列 函 数 的 计算 效率 比较 高 , 即 对 于 任何 给 定 的 消息 zx, 及 (zx) 要 相 
对 易于 计算 。 从 Hash 函数 的 特征 ,可 以 看 出 有 是 一 个 多 对 一 的 函数 ,多 个 不 同 的 输入 会 
产生 相同 的 输出 ,因此 散 列 函数 必须 具有 单 向 性 ,也 就 是 从 M 计算 容易 ,而 从 hh 计算 M 
是 不 可 能 的 。 

对 于 两 个 差别 很 小 (如 仅 差 别 一 两 位 ) 的 消息 Hash 函数 产生 的 散 列 值 会 截然 不 同 , 因 
此 Hash 函数 的 一 个 重要 功能 就 是 实现 消息 完整 性 的 检测 ,能 够 发 现 对 消息 的 任何 改动 。 
例如 ,用 户 A 和 B 通信, 为 了 使 得 接收 方 能 检测 消息 在 传送 过 程 中 是 否 被 自 改 ,用 户 A 利用 
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散 列 函数 对 要 发 送 的 消息 生成 Hash 值 , 附 着 在 消息 之 后 进行 发 送 ,接收 方 收 到 消息 后 , 重 
新 计算 Hash 值 ,如 果 跟 发 送 过 来 的 Hash 值 相同 , 则 表示 在 传送 过 程 中 消息 未 被 算 改 ,反之 
则 表明 消息 被 自 改 ,如 图 2. 18 所 示 。 
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图 2.18 散 列 函数 的 简单 用 法 


但 是 ,由 于 散 列 函数 计算 时 不 需要 密 钥 ,并 且 通 常 散 列 函数 属于 公开 函数 ,如 果 恶 意 用 
户 在 算 改 明文 M 后 ,重新 基于 修改 后 的 消息 计算 散 列 值 , 则 接收 方 无 法 发 现 消息 被 自 改 过 ， 
采用 这 种 方法 无 法 达到 认证 的 效果 。 所 以 在 实际 使 用 过 程 中 ,发 送 方 会 用 某 种 加 密 算法 对 
Hash 值 进行 加 密 , 然 后 附着 在 消息 后 传递 给 接收 方 。 接 收 方 首先 基于 接收 到 的 消息 计算 
出 Hash 值 ,然后 对 传送 过 来 的 附加 在 消息 后 的 Hash 密 文 进行 解密 得 到 原始 Hash 值 ,如 
果 两 者 相同 则 表示 认证 成 功 ,如 图 2. 19 所 示 。 
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2.19 散 列 函数 的 改进 用 法 


由 于 Hash 值 位 数 很 少 ,一 般 只 有 128 或 者 160 位 ,所 以 加 密 或 解密 不 会 为 通信 系统 带 
来 太 大 负担 。 

为 了 防止 第 三 方 伪造 Hash 值 或 者 通过 Hash 值 计 算出 明文 , 散 列 函数 互 必须 满足 以 
下 人 性质: 

(1) 单 向 性 : 对 任何 给 定 的 散 列 码 ,寻找 z 使 得 户 (z) 一 h 在 计算 上 不 可 行 。 

(2) 弱 抗 碰撞 性 (Weakly Collision-Free): 对 于 给 定 的 xz, 寻找 不 等 于 xz 的 y, 使 得 
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瓦 (z) 一 瓦 (y) 在 计算 上 是 不 可 行 的 。 

(3) 强 抗 碰撞 性 (Strongly Collision-Free) : 寻找 任何 的 (z,y) ,使 互 (z) 三 瑟 (y) 在 计算 
上 是 不 可 行 的 。 

Hash 函数 一 般 采 用 迭代 的 构造 方法 ,其 结构 如 图 2. 20 所 示 ,输入 数据 被 划分 为 长 度 为 
5 的 分 组 ,最 后 一 个 分 组 需要 填充 以 满足 长 度 要 求 , 且 最 后 一 个 分 组 包含 了 散 列 函数 的 输入 
总 长 度 , 散 列 算法 中 重复 使 用 了 一 个 压缩 函数 f,f 的 输入 是 前 一 轮 的 位 输出 ( 称 为 链接 
变量 ) 以 及 当前 的 5 位 分 组 ,输出 为 位 的 链接 变量 值 。 


ho hn | 


b b b 
pps n 
IV=CVo—2 i 二 6 
CV CV 


图 2.20 迭代 型 Hash 函数 的 一 般 结构 


图 2. 20 中 明文 被 分 为 了 个 分 组 Yu ,Yi,…,YL-1,b 为 明文 分 组 长 度 ,n 为 输出 Hash 值 
的 长 度 ,CV; 是 各 级 输出 , IV 为 位 的 链接 变量 初始 值 ,最 后 一 个 输出 值 即 为 Hash 值 。 

迭代 型 结构 的 Hash 函数 已 被 证 明 是 合理 的 ,如 果 采 用 其 他 结构 构造 Hash 函数 不 一 定 
能 确保 安全 性 。 采 用 这 种 结构 的 典型 算法 包括 MD5、SHA 等 。MD5 算法 由 RSA Data 
Security 公司 的 Rivest 于 1992 年 提出 ,能 对 任意 长 度 的 输入 消息 进行 处 理 , 产 生 128b 长 的 
消息 摘要 。SHA 算法 是 由 美国 国家 标准 技术 研究 所 与 国家 安全 局 共同 设计 的 安全 了 哈 希 算 
法 (Security Hash Algorithm,SHA) , 它 能 为 任意 长 度 的 输入 产生 160b 的 散 列 值 。 这 两 个 
算法 目前 广泛 应 用 于 因特网 的 消息 认证 与 数字 签名 中 。 这 里 主要 介绍 MD5 算法 。 

2. MDS 算法 

MD5 的 全 称 是 Message-digest Algorithm 5( 消 息 摘要 算法 ) ,经 MD2、MD3 和 MD4 发 
展 而 来 。 利 用 MD5 Hash 算法 产生 消息 摘要 时 ,对 输入 按 512b 的 分 组 为 单位 进行 处 理 , 处 
理 后 输出 为 128b 的 Hash 值 。 

如 图 2. 21 所 示 ,算法 处 理 过 程 主要 包含 以 下 几 个 步 又。 


原始 报 文 填充 长 度 K 


1 



















































512 位 512 位 512 位 
消息 
Icev 8 位。| As| cv Huos | cv， Ci 128 位 ”摘要 
A 128 位 128 位 128 位 
图 2.21 利用 MD5 Hash 产生 消息 摘要 
1) 消息 填充 


首先 填充 消息 使 其 长 度 比 512 的 整数 倍 少 64 位 。 注 意 ,即使 消息 本 身 已 经 满足 上 述 长 
度 要 求 ,仍然 需要 进行 填充 。 例 如 , 若 消息 长 度 为 448 位 , 则 仍 需要 填充 512 位 ,填充 的 内 容 
由 一 个 1 和 后 续 的 多 个 0 组 成 。 
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2) 添加 原始 消息 长 度 

在 填充 后 的 消息 后 面 再 添加 一 个 64 位 的 二 进 制 整数 表示 填充 前 消息 的 长 度 。 如 果 消 
息 长 度 大 于 2% , 则 取 其 对 2“ 的 模 。 

执行 这 一 步骤 后 ,消息 的 长 度 为 512 的 整数 倍 ( 设 为 工 倍 ) , 则 可 将 消息 表示 为 分 组 长 
为 512 的 一 系列 分 组 Yo ,Yi ,…，Yr-i。 

3) 缓冲 区 的 初始 化 

Hash 函数 的 中 间 结 果 和 最 终结 果 保存 于 128 位 的 缓冲 区 中 ,缓冲 区 中 的 值 称 为 链接 变 
量 , 缓 冲 区 由 4 个 32 位 的 寄存 器 组 成 ,寄存 器 中 的 值 分 别 用 4 个 32b 长 的 字 表 示 A、B、C、 
DD, 其 初始 值 分 别 为 : 

A 一 0x01234567; 

B=0x89ABCDEF; 

C=0xFEDCBA98; 

D=0x76543210。 

这 些 值 以 高 端 格式 存储 , 即 字 节 的 最 高 有 效 位 存 于 低地 址 字 节 位 置 。 

4) Huos 运 算 

压缩 函数 电 wos 对 每 个 分 组 Y, 进行 处 理 ,是 算法 的 核心 ,函数 包括 4 轮 处 理 过 程 ,如 
图 2.22 所 示 。4 轮 处 理 过 程 结构 一 样 , 只 是 各 轮 所 用 的 逻辑 函数 不 同 , 各 轮 使 用 的 多 辑 函 
数 依次 记 为 下.G、H、1。 每 轮 的 输入 为 当前 处 理 的 消息 分 组 Y, 和 缓冲 区 当前 值 A、B、C、D， 
输出 仍然 放 在 缓冲 区 中 以 产生 新 的 A、B、.C、D, 第 四 轮 的 输出 和 第 一 轮 的 输入 相 加 得 到 最 


后 的 输出 。 
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MD5 的 每 轮 又 要 进行 16 轮 迭 代 运 算 ,4 轮 共 需 64 步 完 成 ,一 步 迭 代 过 程 如 图 2. 23 所 
示 , 首 先 当 前 缓冲 区 B.C、D 中 的 链接 变量 执行 非 线性 逻辑 函数 g (5,c,d) ,4 轮 运算 中 使 用 
的 逻辑 函数 均 不 同 ,各 轮轴 辑 函数 的 定义 如 表 2. 19 所 示 。 人 逻辑 函数 运算 结果 依次 加 上 缓冲 
区 A 中 的 链接 变量 、 消 息 的 一 个 子 分 组 和 一 个 常数 ,再 将 所 得 的 结果 向 左 循 环 一 个 不 定数 
最 后 得 到 的 结果 再 加 上 之 前 保存 在 缓冲 区 B 中 的 值 更 新 到 缓冲 区 B 中 ,原来 缓冲 区 D 中 的 
值 更 新 到 缓冲 区 A 中 ,原来 缓冲 区 B 中 的 值 更 新 到 缓冲 区 C 中 ,原来 缓冲 区 C 中 的 值 更 新 
到 缓冲 区 D 中 。 每 轮 所 使 用 的 512b 的 消息 分 组 Y, 被 均 分 为 16 个 子 分 量 ( 每 个 子 分 组 为 
32b) , 记 为 XLA] ,一 0,1,…,15, 表 示 当 前 分 组 的 第 & 个 32 位 字 ,在 每 一 轮 的 运算 中 恰好 被 
使 用 一 次 ,在 不 同 轮 中 其 使 用 的 顺序 不 相同 。 在 第 一 轮 中 ,其 使 用 顺序 为 初始 顺序 ,第 二 至 
第 四 轮 中 其 使 用 顺序 由 表 2. 20 所 示 的 置换 确定 , 表 中 i 的 取 值 为 0~15, 对 应 每 一 轮 的 第 一 步 
又 到 第 十 六 步 又。 图 2. 23 中 的 T[ 门 为 2*Xabs(Sin(i)) 的 整数 部 分 ,i 是 弧度 ,T[1,…,64] 
个 元 素 表 ,分 4 组 参与 不 同 轮 的 计算 ,其 主要 作用 是 消除 输入 数据 的 规律 性 。 每 轮 各 步 循环 
左 移 位 数 不 同 ,其 中 第 一 轮 的 1 一 4 步 分 别 循环 左 移 7、12、17、22 位 ,剩余 12 步 则 分 别 重复 
左 移 7、12、17、22; 第 二 轮 分 别 循环 左 移 5、9、14、20 位 ; 第 三 轮 分 别 循环 左 移 4、11、16、23 
位 ; 第 四 轮 分 别 循环 左 移 6、10、15、21 位 。 
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图 2.23 一 步 迭代 
表 2.19 逻辑 函数 
轮 基本 函数 g(b,c,d) 
由 Flb,c,d) (BAOV (oAMd) 
2 Glb,c,d) (Ad)VCAd-) 
3 H(b,c,d) 0@c@dz 
4 I(b,c,d) < 四 bVd 








表 2.20 明文 分 组 使 用 顺序 














明文 子 分 组 使 用 顺序 
轮 数 计算 公式 
第 二 轮 PCi)=(1+5i) mod 16 
第 三 轮 Pp(i)=(5+3i) mod 16 
第 四 轮 pi GD 一 Ti mod 16 
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通过 这 64 步 运算 后 ,所 得 的 结果 与 最 初 输入 的 分 组 进行 模 2”* 加 法 ,所 得 结果 成 为 下 一 
个 分 组 进行 运算 的 缓冲 区 初始 值 ,以 此 类 推 。 

所 有 工 个 512 分 组 都 处 理 完成 后 ,最 后 一 个 分 组 的 输出 即 为 128 位 的 消息 。 

3. 对 Hash 函数 的 攻击 

一 般 来 说 ,对 一 个 Hash 算法 的 攻击 可 分 为 三 个 级 别 。 

(1) 预 映射 攻击 (Preimage Attack): 给 定 Hash 值 ,找到 其 对 应 的 明文 M, 使 得 
hash(M) 二 ,这 种 攻击 是 最 彻底 的 ,如 果 一 个 Hash 算法 被 人 找 出 预 映射 , 那 这 种 算法 是 不 
能 使 用 的 。 

(2) 弱 碰 撞 攻 击 (Second Preimage Attack): 给 定 明文 M ,找到 另 一 明文 Ms (M 天 
Ms ) ,使 得 hash(Mi) 二 hash(M), 这 种 攻击 其 实 就 是 要 寻找 弱 碰 撞 。 

(3) 强 碰撞 攻击 (Collision Attack) : 找到 M 和 M; ,使 得 hash(Mi ) 二 hash(M;), 这 种 
攻击 其 实 就 是 要 寻找 强 碰 撞 。 

攻击 者 的 主要 目标 是 用 非法 消息 替代 合法 消息 进行 伪造 和 欺骗 ,对 喻 希 函 数 的 攻击 也 
是 寻找 碰撞 的 过 程 ,要 完成 上 述 攻 击 行为 ,目前 一 般 都 是 靠 穷 举 的 方法 ,因为 那些 没有 通过 
分 析 和 差分 攻击 考验 的 算法 ,大 多 都 已 经 和 天 折 在 实验 室 了 。 下 面 分 析 采 用 穷 举 法 进行 弱 碰 
撞 攻 击 和 强 碰撞 攻击 的 代价 。 

寻找 弱 碰 撞 的 代价 问题 可 以 换 种 说 法 : 给 定 一 个 散 列 函数 态 和 某 Hash 值 , 假 定 瓦 
有 nn 个 可 能 的 输出 ,如 果 瓦 有 A 个 随机 输入 ,k 必须 为 多 大 才能 使 至 少 存在 一 个 输入 y ,使 
得 有 H(y)==h 的 概率 大 于 0.5? 

因为 瓦 有 ?7 种 可 能 的 输出 ,所 以 对 于 某 个 y 值 ,H(y)==h 的 概率 为 1/n。 那 么 有 H(y) 隆 
的 概率 为 1 一 1/n。 那 么 随机 地 产生 个 随机 的 y 值 , 均 使 有 H(y) 去 h 的 概率 为 (1 一 1/n)*， 
那么 在 个 随机 的 y 值 当中 至 少 有 一 个 使 昌 (y)==h 的 概率 为 1 一 (1 一 1/n)*。 

根据 二 项 式 定理 : (1 一 a)*==1 一 ka 十 k(k 一 Da?/2! 一 k(k 一 1 (k 一 2)as/31 十 … 

当 a 很 小 时 ,(1 一 a)* 宅 1 一 ka, 所 以 对 于 (1 一 1/n)*, 当 很 大 时 ,(1 一 1/n)* 守 1 一 k/n。 

那么 在 个 随机 的 y 值 当中 至 少 有 一 个 使 H(y) 二 H(z) 的 概率 为 1 一 (1 一 1/n)* 守 k/n。 

现在 要 使 这 个 概率 等 于 0.5, 所 以 ,k 二 n/2。 

如 果 Hash 函数 为 妈 位 , 则 有 2” 个 可 能 的 Hash 码 输出 ,如 果 给 定 有 = 电 (x), 要 想 找 
到 一 个 y, 使 有 H(y)==h 的 概率 为 0.5, 尝 试 的 次 数 大 约 为 2"/2 二 2” 1!。 

对 于 一 个 使 用 64 位 的 Hash 码 ,攻击 者 要 想 找到 满足 HCM ) 二 HC(M) 的 M 来 替代 M ， 
即 寻 找 一 个 弱 碰 撞 ,平均 来 讲 , 找 到 这 样 的 消息 大 约 需 要 进行 2 次 尝试 。 这 个 结果 似乎 表 
明 选 择 64 位 的 散 列 函数 是 安全 的 ,但 事实 并 非 如 此 。Yuval 提出 的 “生日 悖 论 " 能 更 有 效 地 
找到 碰撞 。 

首先 了 解 一 下 “生日 悖 论 ” 的 数学 背景 : & 为 多 大 时 ,在 上 个 人 中 至 少 有 两 个 人 具有 相同 
生日 的 概率 不 小 于 0.5? 

分 析 : 第 一 个 人 的 生日 占 了 一 天 ,因此 第 二 个 人 有 不 同 生日 的 概率 为 364/365 ,第 三 个 
人 则 少 了 两 个 选择 ,因此 他 与 前 两 个 人 生日 都 不 同 的 概率 是 363/365, 以 此 类 推 ,第 个 人 
与 前 面 & 一 1 个 人 生日 都 不 同 的 概率 是 [365 一 (k 一 1)]/365。 

所 以 ,这 个 人 生日 都 不 同 的 概率 是 (364/365) X (363/365)X…X ((365 一 k 十 1)/365)。 

那么 ,这 k& 个 人 中 至 少 有 两 个 生日 相同 的 概率 则 为 : 
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P=1—(364/365) X(363/365)X…X ((365—k 二 1)/365) 
=1—365! /(365—k)! (365)* 

可 以 计算 出 , 当 & 王 23 时 ,p 二 0. 5073。 

结果 说 明 : 任 找 23 个 人 ,从 中 总 能 选 出 两 个 人 具有 相同 生日 的 概率 至 少 为 0.5。 这 样 
的 结果 与 人 的 直觉 是 违背 的 ,这 说 明 某 些 事情 的 发 生 概率 是 比 我 们 的 感觉 要 大 得 多 的 ,这 就 
是 “生日 悖 论 ”"。 建 立 在 “生日 悖 论 ” 基 础 上 的 生日 攻击 ,能 够 有 效 地 找到 强 碰撞 。 

可 以 把 找 强 碰撞 的 问题 表述 成 : 对 于 一 个 64 位 的 Hash 码 ,攻击 者 以 50% 的 概率 找到 
Mi .Mi ,使 得 Hash(Mi) 二 Hash(M), 他 要 找到 这 样 的 消息 大 约 要 进行 多 少 次 尝试 。 

通过 计算 ,大 约 要 进行 2* ?次 尝试 就 能 找到 散 列 值 相同 的 两 个 消息 。 这 一 计算 代价 要 
比 寻 找 一 个 弱 碰 撞 小 很 多 。 

如 何 实 施 生日 攻击 呢 ? 假设 Hash 算法 生成 64 位 Hash 值 ,攻击 者 可 以 采用 如 下 方法 
来 进行 生日 攻击 。 

攻击 者 截获 到 报 文 M, 根 据 M 生成 2* 表 达 相 同 含义 的 报 文集 Mi (例如 在 文字 中 加 入 
空格 ,换行 字符 等 )。 同 时 ,攻击 者 还 准备 了 2” 个 用 于 欺骗 的 假 报 文 Ms 。 计 算 两 个 报 文集 
中 能 够 产生 相同 签名 的 报 文 对 二 Mi ,M:> ,根据 生日 悖 论 , 只 要 尝试 次 数 之 2" 成 功 的 概 
率 大 于 0.5。 攻 击 者 将 Mi 提交 给 发 方 请 求 签名 ,并 用 Mi 替代 Mi 。 因 为 这 两 个 报 文具 有 相 
同 签名 ,因此 即使 不 知道 加 密 密 钥 , 攻 击 者 也 能 够 获得 成 功 。 

生日 攻击 表明 Hash 值 的 长 度 必 须 达 到 一 定 的 值 ,如 果 过 短 , 则 容易 遭受 穷 举 攻击 ,一 
般 建议 Hash 值 需要 160 位 ,SHA-1 的 最 初 选择 是 128 位 ,后 改 为 160 位 ,就 是 为 了 防止 利 
用 生日 攻击 穷 举 Hash 值 。 





2.7 数字 签名 


2.7.1 数字 签名 的 定义 


采用 加 密 技 术 对 传输 的 信息 加 密 可 以 防止 攻击 者 窃取 信息 ; 采用 消息 认证 技术 ,消息 
接收 方 能 验证 消息 内 容 是 否 被 算 改 过 ,用 于 保护 通信 双方 的 数据 交换 不 被 第 三 方 侵犯 ,但 是 
这 两 种 技术 都 不 能 保证 通信 双方 自身 的 相互 欺骗 ,例如 发 送 方 A 可 以 否认 发 送 过 消息 ,而 
接收 方 B 也 可 以 伪造 一 个 不 同 的 消息 ,但 声称 是 从 A 收 到 的 ,这 些 行为 称 为 信息 抵赖 。 

签名 具有 防止 抵赖 的 功能 , 它 是 证 明 当 事 者 身份 和 数据 真实 性 的 一 种 信息 。 传 统 的 军 
事 政治 .外 交 活 动 中 的 文件 .命令 和 条 约 及 商业 中 的 契约 等 采用 书面 签名 的 方式 ,如 手印 、 
签字 .印章 等 ,以 表示 确认 和 防止 抵赖 ,书面 签名 得 到 司法 部 门 的 支持 和 承认 ,具有 一 定 的 法 
律 效力 。 随 着 计算 机 通信 网 的 发 展 , 人 们 更 希望 通过 电子 设备 实现 快速 、. 远 距离 交易 ,在 以 
计算 机 文件 为 基础 的 现代 事务 处 理 中 ,应 该 采用 电子 形式 的 签名 , 即 数字 签名 (Digital 
Signature) , 它 是 一 种 防止 源 点 或 终点 抵赖 的 鉴别 技术 ,用 于 防范 通信 双方 的 欺骗 。 数 字 签 
名 在 ISO 7489-2 标准 中 定义 为 : 附加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 单元 所 做 的 密 
码 变换 ,这 种 数据 和 变换 允许 数据 单元 的 接收 者 确认 数据 单元 的 来 源 和 数据 单元 的 完整 性 ， 
并 保护 数据 ,防止 被 人 (例如 接收 者 伪造 。 美 国电 子 签 名 标准 (DSS,FIPS186-2) 对 数字 签 
名 作 了 如 下 解释 : 利用 一 套 规则 和 一 个 参数 对 数据 计算 所 得 的 结果 ,用 此 结果 能 够 确认 签 
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名 者 的 身份 和 数据 的 完整 性 。 数 字 签 名 通常 利用 公 钥 密码 体制 进行 ,其 安全 性 取决 于 密码 
体制 的 安全 程度 。 

在 中 国 ,数字 签名 是 具有 法 律 效力 的 ,正在 被 普遍 使 用 。2000 年 ,中 华人 民 共 和 国 的 新 
《合同 法 ?首次 确认 了 电子 合同 .电子 签名 的 法 律 效 应 。2005 年 4 月 1 日 起 ,中 国 首部 (电子 
签名 法 》 正 式 实施 。 


2.7.2 数字 签名 的 原理 


在 传统 文件 中 ,书面 签名 长 期 以 来 被 用 作用 户 身 份 的 证 明 ,表明 签名 者 同意 文件 的 内 
容 。 实 际 上 ,签名 体现 了 以 下 几 个 方面 的 保证 。 

(1) 签名 是 不 可 伪造 的 。 签 名 证 明 是 签字 者 而 不 是 其 他 人 在 文件 上 签字 。 

(2) 签名 是 不 可 重用 的 。 签 名 是 文件 的 一 部 分 ,不 可 能 将 签名 移动 到 不 同 的 文件 上 。 

(3) 签名 后 的 文件 是 不 可 改变 的 。 在 文件 签名 后 ,文件 就 不 能 改变 。 

(4) 签名 是 不 可 抵赖 的 。 签 名 和 文件 是 不 可 分 离 的 ,签名 者 事后 不 能 声称 他 没有 签 过 
文件 。 

手印 签名、 印章 等 传统 的 书面 签名 基本 上 满足 以 上 条 件 , 所 以 得 到 司法 部 门 的 支持 。 
例如 入 的 指纹 具有 非常 稳定 的 特性 ,终身 不 变 , 据 专家 计算 ,大 约 50 亿 人 才 会 有 一 例 相同 ; 
公安 部 门 有 专业 的 机 构 进行 笔迹 鉴别 ; 公章 的 刻 制 和 使 用 都 受到 法 律 的 保护 和 限制 。 

直接 将 书面 签名 扫描 到 计算 机 中 在 需要 签名 的 地 方 将 其 粘贴 上 去 ,这 种 方法 可 行 吗 ? 
这 种 方法 实际 是 存在 问题 的 。 首 先 , 将 扫描 的 签名 从 一 个 文件 剪辑 和 粘贴 到 另 一 个 文件 是 
很 容易 的 ,其 次 ,文件 在 签名 后 也 易于 修改 ,并 且 不 会 留 下 修改 的 痕迹 。 所 以 ,通过 简单 扫描 
书面 签名 作为 数字 签名 不 能 满足 上 面 提出 的 签名 应 该 具有 的 条 件 , 这 种 方法 不 可 行 。 为 了 
方便 使 用 和 实现 ,对 数字 签名 提出 的 更 进一步 的 要 求 如 下 。 

(1) 依赖 性 : 签名 必须 是 依赖 签名 信息 产生 的 。 

(2) 唯一 性 : 签名 必须 使 用 某 些 对 发 送 者 来 说 是 唯一 的 信息 ,以 防止 双方 的 伪造 和 和 否认 。 

(3) 可 验 性 : 必须 相对 容易 识别 和 验证 该 数字 签名 。 

(4) 抗 伪造 : 伪造 该 数字 签名 在 计算 上 是 不 可 行 的 ,根据 一 个 已 有 的 数字 签名 来 构造 
消息 是 不 可 行 的 ,对 一 个 给 定 消息 伪造 数字 签名 是 不 可 行 的 。 

因为 数字 签名 具有 不 可 伪造 性 ,因此 必须 要 用 用 户 独 有 的 信息 产生 , 私 钥 是 用 户 独 有 的 
信息 ,可 以 考虑 通过 私 钥 来 产生 数字 签名 ,因此 数字 签名 大 多 是 基于 公 钥 密码 体制 实现 的 。 
用 公 钥 密码 体制 实现 保密 性 安全 目标 的 时 候 , 公 钥 用 于 加 密 而 私 钥 用 于 解密 ,而 在 进行 数字 
签名 的 时 候 , 应 该 用 私 钥 产 生 签 名 信息 而 公 钥 用 于 验证 用 户 的 签名 。 具 体 的 签名 和 验证 方 
式 如 图 2. 24 所 示 。 采 用 公 钥 密码 体制 进行 数字 签名 ,发 送 者 用 自己 的 私 钥 加 密 数据 后 发 送 
给 接收 者 ,接收 者 如 果 能 用 发 送 者 的 公 钥 解密 数据 ,就 可 以 确定 消息 一 定 来 自 于 发 送 者 ,发 
送 者 对 所 发 的 信息 不 能 抵赖 。 

发 送 方 A 利用 A 的 私 钥 对 整个 发 送 的 消息 进行 加 密 , 生 成 的 密 文 作为 签名 附加 到 消息 
之 后 发 送 给 接收 方 B。 接 收 方 B 接收 到 消息 后 ,分 离 出 签名 信息 ,利用 A 的 公 钥 解密 ,解密 
后 所 得 到 的 消息 如 果 跟 发 送 过 来 的 消息 一 致 就 说 明 , 该 消息 是 用 户 A 发 送 过 来 的 ,原因 是 
该 消息 是 用 A 的 公 钥 解密 得 到 的 ,只 有 用 A 的 私 钥 加 密 的 信息 才能 用 A 的 公 钥 解密 ,而 A 
的 私 钥 信息 只 有 A 才 拥 有 ,所 以 该 消息 必定 是 由 A 发 出 来 的 ,A 不 能 否认 发 送 过 该 消息 。 
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图 2.24 基于 公 钥 密码 体制 的 直接 数字 签名 


基于 公 钥 密码 体制 的 直接 数字 签名 的 问题 主要 在 于 公 钥 密码 体制 为 安全 性 考虑 ,本 身 
参与 计算 的 都 是 大 数 , 因 此 执行 效率 并 不 高 ,怎样 提高 基于 公 钥 密码 体制 的 数字 签名 的 效率 
呢 ? 可 以 考虑 减少 加 密 的 对 象 ,由 此 联想 到 散 列 函 数 , 散 列 函 数 可 以 将 不 定 长 的 输入 产生 定 
长 的 输出 ,而 且 通 常 输出 相对 消息 本 身 会 小 很 多 ,因此 可 以 考虑 首先 对 消息 通过 散 列 函数 得 
到 消息 的 摘要 ,对 消息 摘要 通过 私 钥 进 行 签名 ,这 就 产生 了 基于 公 钥 密码 体制 和 散 列 函数 的 
数字 签名 ,签名 过 程 如 图 2. 25 所 示 。 
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图 2.25 基于 公 钥 密码 体制 和 散 列 函数 的 直接 数字 签名 


发 送 方 A 首先 产生 消息 的 摘要 ,利用 A 的 私 钥 进行 加 密 产生 签名 ,将 签名 附加 到 消息 
之 后 ,发 送 给 接收 方 B。 接 收 方 B 在 接收 到 信息 后 ,分 离 出 签名 信息 ,用 A 的 公 钥 解密 得 到 
消息 摘要 ,接收 方 再 基于 接收 的 消息 产生 消息 摘要 ,两 者 进行 比较 ,如 果 一 致 ,说 明 消 息 是 发 
送 方 A 发 送 的 ,并 且 A 不 可 否认 。 

对 于 长 度 为 160b 的 散 列 函 数 ,两 个 不 同 的 文件 具有 相同 的 散 列 值 的 概率 为 1/2” ,所 
以 在 这 个 协议 中 使 用 散 列 函 数 的 签名 与 使 用 文件 的 签名 是 一 样 安全 的 。 

上 述 数 字 签 名 假定 接收 方 知道 发 送 方 的 公 钥 , 签 名 通过 使 用 发 送 方 的 私 钥 加 密 产 生 , 整 
个 签名 和 验证 过 程 只 牵涉 到 通信 双方 ,属于 直接 数字 签名 ,这 种 体制 有 个 共同 的 弱点 : 方案 
的 有 效 性 依赖 于 发 送 方 私 钥 的 安全 性 。 如 果 发 送 方 随后 想 和 否认 发 送 过 某 个 数字 签名 消息 ， 
他 可 以 声称 用 来 签名 的 私 钥 丢失 或 者 被 盗用 ,并 有 人 伪造 了 他 的 签名 ,通常 需要 采用 与 私 钥 
安全 性 相关 的 行政 管理 控制 手段 来 制止 这 种 情况 ,但 威胁 依然 存在 。 
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为 了 解决 直接 数字 签名 中 存在 的 问题 ,引入 了 仲裁 数字 签名 。 有 关 仲 裁 数 字 签 名 本 文 
不 作 详 细 介 绍 。 


2.7.3 数字 签名 的 算法 


数字 签名 的 算法 很 多 ,应 用 最 广泛 的 三 种 是 RSA 签名 .DSS 签名 和 基于 ECC 密码 体制 
的 ECDSA 签名 ,这 里 对 DSS 签名 稍 作 介 绍 。 

DSS 最 初 提出 于 1991 年 ,1993 年 根据 公众 对 于 其 安全 性 的 反馈 意见 进行 了 修改 ,1994 
年 美国 国家 标准 技术 研究 所 颁布 了 联邦 信息 处 理 标准 FIPS 186 , 称 为 数字 签名 标准 (DSS) ， 
1996 年 又 稍 作 修 改 ,2000 年 发 布 了 该 标准 的 扩充 版 , 即 FIPS 186-2。 

与 RSA 不 同 的 是 ,DSS 只 用 于 数字 签名 ,而 不 用 于 加 密 或 密 钥 分 发 。DSS 的 数字 签名 
算法 是 DSA, 其 安全 性 建立 在 求 离散 对 数 的 困难 性 上 ,签名 时 首先 利用 安全 散 列 函数 SHA 
对 消息 M 计算 出 散 列 值 ,对 该 散 列 值 进行 签名 ,签名 时 需要 三 类 参数 : 为 此 次 签名 产生 的 
随机 数 发 送 方 的 私 钥 SKA 和 全 局 公 钥 PKce ,全 局 公 钥 PKs 为 一 组 通信 伙伴 所 共有 ,最终 
生成 的 签名 由 两 部 分 组 成 ,标记 为 * 和 7。 

接收 方 在 验证 时 首先 基于 接收 到 的 消息 产生 散 列 值 , 将 这 个 散 列 值 和 接收 到 的 签名 
(s,7) 一 起 作为 验证 函数 的 输入 ,验证 函数 依赖 于 全 局 公 钥 PKe 和 发 送 方 公 钥 PK , 若 验 证 
函数 的 输出 等 于 签名 中 的 ~, 则 签名 是 有 效 的 。 签 名 函数 保证 只 有 拥有 私 钥 的 发 送 方才 能 
产生 有 效 签名 ,如 图 2. 26 所 示 。 












































图 2.26 DSS 签名 方案 
有 关于 DSA 算法 的 具体 签名 过 程 请 参考 相关 书籍 。 


2.8 公 钥 基础 设施 PKI 


2.8.1 公 钥 的 分 配 


公 钥 密码 体制 有 公 、 私 两 个 密 钥 ,在 进行 密 钥 分 配 时 要 确保 私 钥 的 秘密 性 真实 性 和 完 
整 性 ,对 于 公 钥 , 则 保证 其 真实 性 和 完整 性 , 绝 不 允许 攻击 者 替换 或 者 算 改 用 户 的 公 钥 。 

公 钥 的 分 配方 式 主要 有 以 下 几 种 。 

(1) 公开 发 布 : 用 户 将 自己 的 公 钥 通过 BBS 或 者 邮件 列表 等 方式 公开 发 布 。 这 种 方法 
方便 快捷 ,每 个 人 都 可 以 很 方便 地 发 布 自己 的 公 钥 ,但 容易 被 人 冒充 或 者 自 改 ,所 以 这 种 方 
法 一 般 在 简单 的 个 人 应 用 或 者 一 些小 型 网 络 中 使 用 。 

(2) 公 钥 动态 目录 表 : 建立 一 个 公用 的 公 钥 动态 目录 表 , 表 的 建立 和 维护 以 及 公 钥 的 
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发 布 由 某 个 公 钥 管理 机 构 承 担 ,每 个 用 户 都 可 靠 地 知道 管理 机 构 的 公 钥 。 但 在 这 个 方法 中 ， 
每 一 用 户 想 要 与 他 人 通信 都 要 求助 于 公 钥 管理 机 构 ,因而 可 能 形成 瓶颈 ,而 且 公 钥 目 录 表 也 
容易 被 算 改 。 所 以 这 个 方法 只 适合 于 小 型 网 络 , 例 如 企业 局 域 网 中 。 

(3) 直接 发 送 。 通 信和 双方 直接 将 自己 的 公 角 发送 给 对 方 ,由 于 公 钥 本 身 就 是 公开 的 , 因 
此 发 送 时 不 需要 加 密 处 理 。 但 是 这 种 方式 容易 受到 “中 间 人 ”(Man-in-the-Middle) 攻 击 。 
例如 ,考虑 A 和 B 进行 通信 的 情况 。 假 设 攻击 者 C 能 够 截获 公 钥 的 交换 ,C 可 以 向 A 发 送 
他 自己 的 公 钥 ,但 故意 将 其 表示 成 B 的 公 钥 ,然后 ,他 还 可 以 向 也 发 送 自己 的 公 钥 ,故意 表 
示 成 A 的 公 钥 ,现在 C 可 以 拦截 A 和 B 之 间 的 所 有 通信 了 。 如 果 A 向 B 发送 了 一 条 加 密 
消息 ,由 于 加 密实 际 上 使 用 的 是 C 的 公 钥 ,C 获得 消息 后 解密 并 存储 ,之 后 ,他 使 用 也 的 公 
钥 加 密 其 自 改 后 的 消息 ,继续 将 其 发 送 给 B,B 获得 消息 后 能 够 解密 ,但 不 知道 消息 来 自 于 
C 而 非 A。 

出 现 上 述 问题 的 实质 是 A 没 办 法 确定 他 得 到 的 密 钥 是 否 真 的 属于 B, 为 了 解决 这 个 问 
题 ,需要 借助 于 可 信 的 第 三 方 ,通过 颁发 数字 证 书 , 将 用 户 公 钥 和 真实 身份 绑 定 。 

(4) 数字 证 书 : 采用 数字 证 书 分 配 公 钥 是 最 安全 有 效 的 方法 ,数字 证 书 由 证 书 管理 机 
构 CA 为 用 户 建立 ,实际 上 是 一 个 数据 结构 ,其 中 的 数据 项 有 该 用 户 的 公 钥 、 用 户 的 身份 和 
时 间 截 等 。 


2.8.2 数字 证 书 


公 钥 是 公开 的 ,因此 不 需要 确保 秘密 性 ,但 是 需要 保证 完整 性 和 真实 性 ,绝对 不 允许 攻 
击 者 更 换 或 算 改 用 户 的 公 钥 。 如 果 公 钥 的 真实 性 和 完整 性 受到 危害 , 则 基于 公 钥 的 各 种 应 
用 的 安全 将 受到 危害 。 保 证 完整 性 和 真实 性 的 方法 之 一 就 是 数字 签名 。 假 设 有 一 个 权威 公 
正 的 第 三 方 可 信任 实体 X, 所 有 的 公 钥 都 交 由 实体 X 验证 签名 后 存 人 某 个 数据 库 公 开发 
布 , 实 体 X 通过 可 信 途 径 把 自己 的 公 钥 公开 , 则 用 户 从 数据 库 中 取出 公 钥 时 通过 验证 实体 
X 的 签名 是 否 完整 ,从 而 可 以 发 现 对 公 钥 的 自 改 。 进 一 步 , 如 果 将 用 户 的 标识 符 和 用 户 的 公 
钥 联 系 在 一 起 签名 , 则 可 以 确认 公 钥 的 身份 ,防止 有 人 冒充 或 者 伪造 公 钥 。 

我 们 把 可 信和 的 实体 X 称 为 签证 机 构 (Certificate Authority,CA) ,由 一 个 可 信任 的 权威 
机 构 签 署 的 信息 集合 称 为 证 书 , 它 实 质 是 一 个 数据 结构 。 证 书 分 很 多 种 类 型 ,例如 X. 509 
公 钥 证 书 、 简 单 的 PKI 证书 .PGP 证 书 、 属 性 证 书 等 ,这 些 证 书 具有 各 自 不 同 的 格式 。 

一 个 简单 的 数字 证 书 示意 如 图 2. 27 所 示 。 

公 钥 证 书包 括 持 证 主体 的 身份 标识 、 公 钥 等 相关 信息 ,这 些 信息 由 签证 机 构 进行 数字 签 
名 ,数字 签名 也 是 证 书 的 一 部 分 ,任何 知道 签证 机 构 公 钥 的 人 通过 验证 签名 的 真 伪 , 确 保 公 
钥 的 真实 性 确保 公 钥 与 持 证 主体 之 间 的 严格 


























绑 定 。 证 书 

日 常生 活 中 有 许多 使 用 证 书 的 例子 ,例如 汽车 主体 身份 信息 | CA 名 称 
的 驾驶 证 。 驾 驶 证 ( 公 钥 证 书 ) 确 认 了 驾驶 员 的 身 主体 的 公 钥 | 其 他 信息 
份 (用 户 ) ,表示 其 开车 的 能 力 ( 公 钥 ) ,驾驶 证 上 有 
公安 局 的 印章 (CA 对 证 书 的 签名 ) ,任何 人 只 要 信 人 














任 公安 局 (CA) ,就 可 以 信任 驾驶 证 ( 公 钥 证 书 )。 a 
有 了 公 钥 证 书 系统 后 ,如 果 某 个 用 户 需 要 任何 国 2.27 - 落 宇 全书 示 家 轩 
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其 他 已 向 CA 注册 的 用 户 的 公 钥 ,可 以 向 持 证 人 (或 证 书 机 构 ) 直 接 索 取 其 公 钥 证 书 , 并 用 
CA 的 公 钥 验证 CA 的 签名 ,从 而 获取 可 信 的 公 钥 。 公 钥 证 书 为 公 钥 的 分 发 商定 了 基础 ,成 
为 公 钥 密 码 在 大 型 网 络 系统 中 应 用 的 关键 技术 。 电 子 商务 .电子 政务 等 大 型 网 络 应 用 系统 
都 采用 了 公 钥 证 书 技术 。 


2.8.3 X.509 证 书 


目前 应 用 最 广泛 的 证 书 格 式 是 国际 电信 联盟 (Internet Telecommunication Union， 
ITU) 提 出 的 X. 509 版 本 3 格式 。X. 509 是 由 ITU 制定 的 数字 证 书 标准 。 为 了 提供 公用 网 
络 用 户 目录 信息 服务 ,ITU 于 1988 年 制定 了 X. 500 系列 标准 。 其 中 X. 500 和 X. 509 是 安 
全 认证 系统 的 核心 ,X. 500 定义 了 一 种 区 别 命名 规则 ,以 命名 树 来 确保 用 户 名 称 的 唯一 性 ， 
X. 509 则 为 X. 500 用 户 名 称 提供 了 通信 实体 鉴别 机 制 , 并 规定 了 实体 鉴别 过 程 中 广泛 适用 
的 证 书 语法 和 数据 接口 ,X. 509 称 为 证 书 。 

最 初 的 X.509 版 本 公布 于 1988 年 ,版 本 3 的 建议 稿 1994 年 公布 ,在 1995 年 获得 批准 。 
本 质 上 ,X. 509 证 书 由 用 户 公 钥 与 用 户 标识 符 组 成 ,此 外 还 包括 版 本 号 .证书 序 列 号 .CA 标 
识 符 、 签 发 者 名 称 .证 书 有 效 期 等 。 

X. 509 版 本 3 的 证 书 结构 如 图 2. 28 所 示 。 





X. 509 证 书 





版 本 号 
证 书 序列 号 
签名 算法 标识 符 
颁发 者 名 称 
有 效 期 
主体 名 称 
主体 公 钥 信息 (算法 标识 、 公 钥 值 ) 
颁发 者 唯一 标识 符 ( 可 选 ? 
主体 唯一 标识 符 (可 选 ) 
扩展 项 (可 选 ) 
颁发 者 的 签名 
图 2.28 X.509 证 书 结构 









































(1) 版 本 号 : 定义 了 证 书 的 版 本 号 ,这 将 最 终 影响 证 书 中 包含 的 信息 的 类 型 和 格式 。 
目前 版 本 4 已 颁布 ,但 在 实际 使 用 过 程 中 版 本 3 还 是 占 主流 。 

(2) 证 书 序列 号 : 序列 号 是 赋予 证 书 的 唯一 整数 值 ,用 于 将 本 证 书 与 同一 CA 颁发 的 其 
他 证 书 区 别 开 来 。 

(3) 签名 算法 标识 符 : 该 域 中 含有 CA 签发 证 书 所 使 用 的 数字 签名 算法 的 算法 标识 符 ， 
如 SHA、RSA 等 。 有 CA 的 签名 , 便 可 保证 证 书 拥有 者 身份 的 真实 性 ,而 且 CA 也 不 能 否认 
其 签名 。 

(4) 颁发 者 名 称 : 该 域 含有 签发 证 书 实体 的 唯一 名 称 ,命名 必须 符合 X. 500 格式 ,通常 
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为 某 个 CA。 

(5) 有 效 期 : 每 个 证 书 均 只 能 在 一 个 有 限 的 时 间 段 内 有 效 。 该 有 效 期 表示 为 两 个 日 期 
的 序列 , 即 起 始 日 期 和 时 间 、 终 止 日 期 和 时 间 , 有 效 期 可 以 短 至 几 秒 或 长 至 一 世纪 。 有 效 期 
长 短 取决 于 许多 因素 ,例如 用 于 数字 签名 的 私 钥 的 使 用 频率 等 。 

(6) 主体 名 称 : 证 书 拥有 者 的 可 识别 名 称 , 命 名 规则 使 用 X. 500 标准 ,因此 在 Internet 
中 应 是 唯一 的 。 此 字段 必须 是 非 空 的 ,除非 在 扩展 项 中 使 用 了 其 他 的 名 字形 式 。 

(7) 主体 公 钥 信息 : 主体 的 公 钥 , 同 时 包括 指定 该 密 钥 所 属 公 钥 密码 系统 的 算法 标识 
符 及 所 有 相关 的 密 钥 参数 。 

(8) 颁发 者 唯一 标识 符 ( 可 选 ): 证 书 颁发 者 唯一 标识 符 ,属于 可 选 字段 。 该 字段 在 实 
际 中 很 少 使 用 ,并 且 不 被 RFC 2459 推荐 使 用 。 

(9) 主体 唯一 标识 符 ( 可 选 ): 证 书 拥有 者 唯一 标识 符 , 属 于 可 选 字段 ,用 于 不 同 的 实体 
重用 这 一 证 书 时 标志 证 书 的 主体 ,该 字段 在 实际 中 很 少 使 用 ,并 且 不 被 RFC 2459 推荐 
使 用 。 

(10) 扩展 项 (可 选 ): 在 颁布 了 X. 509 版 本 2 后 ,人 们 认为 还 有 一 些 不 足 之 处 ,于 是 提 
出 一 些 扩展 项 附 在 版 本 3 证 书 格式 的 后 面 。 这 些 扩展 项 包括 密 钥 和 策略 信息 .主体 和 颁发 
者 属性 以 及 证 书 路 径 限 制 。 

(11) 颁发 者 的 签名 : 覆盖 了 证 书 的 所 有 其 他 字段 ,以 及 这 些 字段 被 CA 私 钥 加 密 后 的 
Hash 值 签名 算法 标识 等 。 


2.8.4 公 钥 基础 设施 PKI 


公 钥 证 书 ,证 书 管理 机 构 ,证书 管理 系统 .围绕 证 书 服务 的 各 种 软 硬 件 设备 以 及 相应 的 
法 律 基础 共同 组 成 公 钥 基础 设施 PKI(Public Key Infrastructure) 。PKI 技术 采用 证 书 管理 
公 钥 ,通过 第 三 方 的 可 信任 机 构 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 (如 用 户 名 、e-mail、 身 
份 证 号 .护照 号 等 ) 绑 定 在 一 起 ,在 Internet 上 验证 用 户 的 身份 。 本 质 上 ,PKI 是 一 种 标准 的 
公 钥 密码 的 密 钥 管 理 平台 ,能 够 为 所 有 网 络 应 用 透明 地 提供 加 密 数字 签名 等 服务 所 需要 的 
密码 和 证 书 管理 。 当 前 ,PKI 以 其 良好 的 开放 性 、 安 全 性 和 稳定 性 ,已 成 功 应 用 到 了 众多 领 
域 ,在 信息 安全 领域 起 着 越 来 越 重 要 的 作用 。 

一 个 有 效 的 PKI 系 统 必须 是 安全 的 和 透明 的 ,用 户 在 获得 加 密 和 数字 签名 服务 时 ,不 
需要 详细 了 解 PKI 的 内 部 运作 机 制 。 一 个 典型 .完整 和 有 效 的 PKI 系统 应 该 包含 证 书 的 创 
建 和 发 布 以 及 证 书 的 撤销 ,一 个 可 用 的 PKI 产 品 还 必须 提供 相应 的 密 钥 管理 服务 ,包括 密 
钥 的 备份 ,恢复 和 更 新 等 。 没 有 一 个 好 的 密 钥 管理 系统 ,将 极 大 影响 一 个 PKI 系统 的 规模 、 
可 伸缩 性 和 在 协同 网 络 中 的 运行 成 本 。 

美国 是 最 早 推动 PKI 建设 的 国家 , 早 在 1996 年 就 成 立 了 联邦 PKI 指导 委员 会 。 目 前 
美国 联邦 政府 、 州 政府 、 大 型 企业 都 建立 了 PKI, 比较 有 代表 性 的 主要 有 VeriSign 和 
Entrust。VeriSign 作为 RSA 的 控股 公司 ,借助 RSA 成 熟 的 安全 技术 ,提供 了 PKI 产 品 ,为 
用 户 之 间 的 内 部 信息 交互 提供 了 安全 保障 。 另 外 ,VeriSign 也 提供 对 外 的 CA 服务 ,包括 证 
书 的 发 布 和 管理 等 功能 ,并 且 同 一 些 大 的 生产 商 , 如 Microsoft、Netscape 和 JavaSoft 等 保持 
了 伙伴 关系 ,以 在 Internet 上 提供 代码 签名 服务 。 

1998 年 中 国 的 电信 行业 也 建立 了 国内 第 一 个 行业 CA ,此 后 金融 .工商 、 外 贸 .海关 和 一 


60 信息 系统 安全 





些 省 市 也 建立 了 自己 的 行业 CA 和 地 方 CA。PKI 已 经 成 为 世界 各 国 发 展 电子 商务 .电子 政 
务 、 电 子 金融 的 基础 设施 。 

1. PKI 的 组 成 和 功能 

一 个 典型 的 PKI 逻辑 结构 如 图 2. 29 所 示 , 其 中 包括 PKI 策略 、 软 硬件 系统 、 证 书 机 构 
CA ,注册 机 构 RA 证书 发 布 系统 和 PKI 应用。 






































PKI 应 用 
1 | 
! | 证 书 机 构 CA 注册 机 构 RA 证 书 发 布 系统 | | 
L 1 

站 下 本 
PKI 策 略 软 硬 件 系统 | ，! 
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2.29 ”PKI 的 逻辑 结构 


(1) PKI 安全 策略 : 建立 和 定义 了 一 个 组 织 在 信息 安全 方面 的 指导 方针 ,同时 也 定义 
了 密码 系统 使 用 的 处 理 方法 和 原则 。 

(2) 证 书 机 构 CA: 它 是 整个 PKI 体系 中 各 方 都 承认 的 一 个 值得 信赖 的 公正 的 第 三 方 
机 构 ,是 PKI 的 信任 基础 。 它 的 核心 功能 是 管理 公 钥 的 整个 生命 周期 ,其 作用 包括 证 书 的 
发 放 .更 新 .归档 等 。 

(3) 注册 机 构 RA: 主要 完成 收集 用 户 信息 和 确认 用 户 身 份 的 功能 。 这 里 的 用 户 是 指 
将 要 向 认证 中 心 CA 申请 数字 证 书 的 客户 ,可 以 是 个 人 ,也 可 以 是 集团 .团体 .政府 机 构 等 。 
RA 接受 用 户 的 注册 申请 ,审查 用 户 的 申请 资格 ,并 决定 是 否 同意 CA 给 其 签发 数字 证 书 。 
需要 注意 的 是 ,注册 机 构 并 不 实际 给 用 户 签发 证 书 , 而 只 是 对 用 户 进行 资格 审查 。 

(4) 证 书 发 布 系统 : 负责 证 书 的 发 放 , 如 可 以 通过 目录 服务 发 放 。 目 录 服 务 器 可 以 是 
一 个 组 织 中 现存 的 ,也 可 以 是 PKI 方 案 中 提供 的 。 

(5) 数字 证 书 : 在 PKI 中 ,最 重要 的 信息 就 是 数字 证 书 , 可 以 说 ,PKI 的 所 有 活动 都 是 
围绕 数字 证 书 进行 的 。 

(6) PKI 应 用 : PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,可 以 说 只 要 需要 使 用 
到 公 钥 的 地 方 就 要 使 用 到 PKI. 例 如 安全 电子 邮件 、Web 安全 虚拟 专用 网 等 。 

一 个 完整 的 PKI 系统 的 主要 功能 包括 证 书 颁发 证书 废除 ,证书 和 CRL 的 公布 证 书 
状态 的 在 线 查询 等 。 

(1) 证 书 颁发 : 申请 者 在 CA 的 注册 机 构 (RA) 进 行 注册 、 申 请 证 书 。 证 书 的 申请 可 采 
取 在 线 申请 和 亲自 到 RA 申请 两 种 方式 。 在 线 申 请 就 是 通过 浏览 器 或 其 他 应 用 系统 通过 
在 线 的 方式 申请 证 书 ,这 种 方式 一 般 用 于 申请 普通 用 户 证 书 或 测试 证 书 。 离 线 方式 一 般 
通过 人 工 的 方式 直接 到 证 书 机 构 的 受理 点 去 办 理 证 书 申请 手续 ,通过 审核 后 获取 证 书 , 这 
种 方式 一 般 用 于 比较 重要 的 场合 ,如 服务 器 证 书 和 商家 证 书 等 。 证 书 的 颁发 也 可 采用 两 种 
方式 ,一 种 是 在 线 直接 从 CA 下 载 ,一 种 是 CA 将 证 书 制作 成 介质 (IC 卡 等 ) 后 ,由 申请 者 
带 走 。 

(2) 证 书 废除 : 在 CA 系统 中 .由 于 密 钥 泄露 .从 属 变更 .证书 终止 使 用 以 及 CA 本 身 私 
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钥 汇 密 等 原因 ,需要 对 原来 签发 的 证 书 进行 撤销 ,证 书 持 有 者 可 以 向 CA 申请 废除 证 书 。 
CA 通过 认证 核实 ,将 证 书写 人 黑 名 单 CRL(Certificate Revocation List) , 即 证 书 撤销 列表 。 

(3) 证 书 和 CRL 的 公布 。CA 通过 轻 量 级 目录 访问 协议 (Lightweight Directory 
Access Protocol,LDAP) 服 务 器 维护 用 户 证 书 和 黑 名 单 (CRL)。 它 向 用 户 提 供 目 录 浏 览 服 
务 ,负责 将 新 签发 的 证 书 或 废除 的 证 书 加 入 到 LDAP 服务 器 上 。 这 样 用 户 通过 访问 LDAP 
服务 器 就 能 够 得 到 他 人 的 数字 证 书 或 访问 黑 名 单 。 

(4) 证 书 状 态 的 在 线 查 询 。 通 常 CRL 签发 为 一 日 一 次 ,CRL 的 状态 同 当前 证 书 状态 有 
一 定 的 滞后 ,证 书 状 态 的 在 线 查 询 向 在 线 证 书 状 态 查询 协议 (Online Certificate Status 
Protocol,OCSP) 服 务 器 发 送 OCSP 查询 包 ,包含 待 验证 证 书 的 序列 号 、 验 证 时 戳 。OCSP 服 
务 器 返回 证 书 的 当前 状态 并 对 返回 结果 加 以 签名 。 在 线 证 书 状态 查询 比 CRL 更 具 时 效 性 。 

2. PKI 密 钥 管理 

密 钥 管理 是 PKI( 主 要 指 CA) 中 的 一 个 核心 问题 ,主要 包括 密 钥 产生 、 密 钥 备 份 . 密 钥 
恢复 和 密 钥 更 新 等 。 

公 钥 有 两 大 用 途 : 其 一 是 用 于 验证 数字 签名 , 即 消息 接收 者 使 用 发 送 者 的 公 钥 对 消息 
的 数字 签名 进行 验证 ; 其 二 是 用 于 加 密 信息 , 即 消息 发 送 者 使 用 接收 者 的 公 钥 加 密 用 于 加 
密 消 息 的 密 钥 ,进行 数据 加 密 密 钥 的 传递 。 相 应 地 ,系统 中 需要 配置 用 于 数字 签名 /验证 的 
密 钥 对 和 用 于 数据 加 密 /解密 的 密 钥 对 ,这 里 分 别称 为 签名 密 钥 对 和 加 密 密 钥 对 。 这 两 对 密 
钥 对 于 密 钥 管理 有 不 同 的 要 求 。 

1) 密 钥 产生 

密 钥 对 的 产生 是 证 书 申请 过 程 中 重要 的 一 步 ,其 中 产生 的 私 钥 由 用 户 保留 , 公 钥 和 其 他 
信息 则 交 给 CA 中 心 签名 ,从 而 产生 证 书 。 依 据 密 钥 的 使 用 和 系统 的 安全 策略 考虑 ,目前 国 
内 外 主要 有 三 种 实现 方法 。 

(1) 客户 自己 生成 密 钥 对 ,然后 将 公 钥 以 安全 的 方式 传送 给 CA ,该 过 程 必须 保证 用 户 
公 钥 的 可 验证 性 和 完整 性 。 

(2) CA 替 客 户 生成 密 钥 对 ,然后 将 其 以 安全 的 方式 传送 给 客户 ,该 过 程 必须 确保 密 钥 
对 的 机 密 性 、 完 整 性 和 可 验证 性 。 该 方式 下 由 于 客户 的 私 钥 为 CA 所 知 , 故 对 CA 的 可 信人 性 
有 更 高 的 要 求 。 

(3) 由 可 信 的 第 三 方 ,如 密 钥 管理 中 心 KMC, 生 成 密 钥 对 ,再 将 相应 的 密 钥 传送 给 CA 
和 客户 。 

在 实际 运行 的 PKI 系统 中 ,根据 网 络 的 拓扑 结构 和 安全 策略 ,可 采用 上 述 一 种 或 几 种 
方案 的 组 合 来 实现 。 

对 普通 证 书 和 测试 证 书 ,一 般 由 客户 自己 产生 密 钥 ,这 样 产生 的 密 钥 强度 较 小 ,不 适合 
应 用 于 比较 重要 的 安全 网 络 交易 。 而 对 于 比较 重要 的 证 书 ,如 商家 证 书 和 服务 器 证 书 等 , 密 
钥 对 一 般 由 专用 应 用 程序 或 CA 中 心 直 接 产生 ,这 样 产生 的 密 钥 强 度 大 ,适合 于 重要 的 应 用 
场合 。 

另外 ,根据 密 钥 的 应 用 不 同 ,也 可 能 会 有 不 同 的 产生 方式 ,例如 签名 密 钥 可 能 在 客户 端 
或 RA 中 心 产生 ,而 加 密 密 钥 则 需要 在 CA 中 心 直 接 产生 。 

2) 密 钥 的 备份 和 恢复 

在 一 个 PKI 系统 中 ,维护 密 钥 对 的 备份 至 关 重 要 ,如 果 没 有 这 种 措施 , 当 密 钥 丢 失 后 
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将 意味 着 加 密 数据 的 完全 丢失 ,对 于 一 些 重要 数据 ,这 将 是 灾难 性 的 。 所 以 , 密 钥 的 备份 和 
恢复 也 是 PKI 密 钥 管理 中 的 重要 一 环 。 

(1) 签名 密 钥 对 

签名 密 钥 对 由 签名 私 钥 和 验证 公 钥 组 成 。 签 名 私 钥 具有 日 常生 活 中 公章 、 私 章 的 效力 ， 
为 保证 其 唯一 性 ,签名 私 钥 绝对 不 能 够 作 备份 和 存档 ,丢失 后 只 需 重新 生成 新 的 密 钥 对 , 原 
来 的 签名 可 以 使 用 旧 公 钥 的 备份 来 验证 。 验 证 公 钥 需要 存档 ,用 于 验证 旧 的 数字 签名 。 用 
作 数 字 签 名 的 这 一 对 密 钥 一 般 可 以 有 较 长 的 生命 周期 。 

(2) 加 密 密 钥 对 

加 密 密 钥 对 由 加 密 公 钥 和 解密 私 钥 组 成 。 为 防止 密 钥 丢失 时 丢失 数据 ,解密 私 钥 应 该 
进行 备份 ,同时 还 可 能 需要 进行 存档 ,以 便 能 在 任何 时 候 解密 历史 密 文 数据 。 加 密 公 钥 无 须 
备份 和 存档 ,加 密 公 钥 丢 失 时 ,只 需 重 新 产生 密 钥 对 。 加 密 密 钥 对 通常 用 于 分 发 会 话 密 钥 ， 
这 种 密 钥 应 该 频繁 更 换 , 故 加 密 密 钥 对 的 生命 周期 较 短 。 企 业 级 的 PKI 产品 至 少 应 该 支持 
用 于 加 密 的 安全 密 钥 的 存储 、 备 份 和 恢复 。 不 难看 出 ,这 两 对 密 钥 的 密 钥 管理 要 求 存在 互相 
冲突 的 地 方 ,因此 ,系统 必须 针对 不 同 的 用 途 使 用 不 同 的 密 钥 对 ,尽管 有 的 公 钥 体制 算法 ,如 
目前 使 用 广泛 的 RSA, 既 可 以 用 于 加 密 、 又 可 以 用 于 签名 ,但 在 具体 使 用 中 仍然 必须 为 用 户 
配置 两 对 密 钥 两 张 证 书 , 其 一 用 于 数字 签名 ,其 二 用 于 加 密 。 

3) 密 钥 更 新 

每 一 个 由 CA 颁发 的 证 书 都 有 有 效 期 , 密 钥 对 生命 周期 的 长 短 由 签发 证 书 的 CA 中 心 
来 确定 ,各 CA 系统 的 证 书 有 效 期 有 所 不 同 ,一 般 为 2 一 3 年 。 

当 用 户 的 私 钥 被 泄露 或 证 书 的 有 效 期 快 到 时 ,用 户 应 该 更 新 私 钥 。 这 时 用 户 可 以 废除 
证 书 ,产生 新 的 密 钥 对 ,或 者 申请 新 的 证 书 。 

3. 证 书 的 使 用 

在 实际 应 用 中 ,为 了 验证 信息 的 数字 签名 ,用 户 首先 必须 获取 信息 发 送 者 的 公 钥 证 书 ， 
以 及 一 些 额 外 需要 的 证 书 ( 如 CA 证 书 等 ,用 于 验证 发 送 者 证 书 的 有 效 性 ) 。 

证 书 的 获取 可 以 有 多 种 方式 ,如 发 送 者 发 送 签名 信息 时 附加 发 送 自己 的 证 书 ,或 以 另外 
的 单独 信息 发 送 证 书 , 或 者 可 以 通过 访问 证 书 发 布 的 目录 服务 器 来 获得 ,或 者 直接 从 证 书 相 
关 的 实体 处 获得 。 在 一 个 PKI 体系 中 ,可 以 采取 某 种 或 某 几 种 上 述 方式 获得 证 书 。 

在 电子 商务 系统 中 ,证 书 的 持 有 者 可 以 是 个 人 用 户 、 企 事业 单位 .商家 、 银 行 等 。 无 论 是 
电子 商务 中 的 哪 一 方 ,在 使 用 证 书 验证 数据 时 ,都 遵循 同样 的 验证 流程 。 一 个 完整 的 验证 过 
程 有 以 下 几 步 。 

(1) 验证 者 将 客户 端 发 来 的 数据 解密 。 

(2) 将 解密 后 的 数据 分 解 成 原始 数据 、 签 名 数据 和 客户 证 书 三 部 分 。 

(3) 用 CA 根 证 书 (CA 的 公 钥 ) 验 证 客户 证 书 的 签名 完整 性 。 

(4) 检查 客户 证 书 是 否 有 效 ( 当 前 时 间 在 证 书 结构 中 所 定义 的 有 效 期 内 ) 。 

(5) 检查 证 书 是 否 作废 。 

(6) 验证 客户 证 书 结构 中 的 证 书 用 途 。 

(7) 用 客户 的 证 书 ( 客 户 的 公 钥 ) 验 证 原始 数据 的 签名 完整 性 。 

如 果 以 上 各 项 均 验 证 通过 , 则 接收 该 数据 。 
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4. PKI 的 信任 模型 

最 基本 的 PKI 结构 是 单 CA 结构 ,只 需 建立 一 个 根 CA, 所 有 用 户 对 此 单 CA 信任 。 这 
种 结构 的 优点 是 容易 实现 ,所 有 用 户 都 能 直接 相互 认证 ,缺点 是 不 易 扩 展 到 支持 大 量 或 者 不 
同 群体 的 用 户 。 

在 现实 中 ,对 于 大 范围 应 用 ,一 个 CA 很 难得 到 所 有 用 户 的 信任 并 接受 它 所 颁发 的 数字 
证 书 ,而 且 一 个 CA 也 很 难 对 所 有 潜在 用 户 有 足够 全 面 的 了 解 ,因此 往往 需要 多 个 CA ,这 些 
CA 之 间 应 该 具有 某 种 结构 关系 ,以 使 不 同 CA 之 间 的 证 书 认证 简单 方便 。 

证 书 用 户 \ 证 书 主体 、 各 个 CA 之 间 的 证 书 认 证 关系 称 为 PKI 的 信任 模型 。 人 们 目前 
已 经 提出 了 多 种 信任 模型 。 

1) 严格 层次 结构 模型 

严格 层次 模型 是 一 个 以 主 从 CA 关系 建立 的 分 级 PKI 结构 , 像 一 棵 倒置 的 树 ,如 图 2. 30 
所 示 。 在 这 个 结构 中 , 根 CA 把 自己 的 权力 授 给 多 个 子 CA ,这些 子 CA 再 将 它们 的 权力 授 
给 它们 的 子 CA ,这 个 过 程 持续 至 某 个 CA 实际 颁发 了 证 书 。 

该 模型 的 所 有 实体 (包括 子 CA 和 终端 用 户 ) 都 信任 根 CA ,因此 都 必须 拥有 根 CA 的 公 
钥 , 这 个 层次 结构 按照 如 下 规则 建立 。 


用 户 [用 户 ] [用户 用 户 


























图 2.30 CA 的 严格 层次 模型 


(1) 根 CA 认证 (为 其 创建 和 签署 证 书 ) 直 接 在 它 下 面 的 CA。 

(2) 这 些 CA 中 的 每 一 个 都 认证 零 个 或 者 多 个 直接 在 它 下 面 的 CA。 

(3) 倒数 第 二 层 的 CA 认证 终端 实体 。 

任何 两 个 用 户 之 间 进行 通信 ,为 验证 对 方 的 公 钥 证 书 , 都 必须 通过 根 CA 才能 实现 。 例 
如 一 个 持 有 一 份 可 信 的 根 CA 公 钥 的 终端 实体 A 可 以 通过 如 下 方法 检验 另 一 个 终端 实体 B 
的 证 书 。 

假设 B 的 证 书 由 子 CA3 签发 ( 公 钥 为 k3) , 子 CA3 的 证 书 由 子 CA2( 公 钥 为 k2) 签 发 ， 
子 CA2 的 证 书 由 子 CA1( 公 钥 为 kl1) 签 发 . 子 CA1 的 证 书 由 根 CA( 公 钥 为 签发 。 拥 及 
的 终端 实体 A 可 以 利用 & 来 验证 CA1 的 公 钥 为 kl ,然后 利用 kl 来 验证 CA2 的 公 钥 为 k2， 
再 利用 k2 来 验证 CA3 的 公 钥 为 k3, 最 终 利用 k3 来 验证 B 的 证 书 。 
建立 一 个 管理 全 世界 所 有 用 户 的 全 球 性 PKI 是 不 现实 的 。 比 较 可 行 的 办 法 是 各 个 国 
家 建立 自己 的 PKI, 一 个 国家 之 内 再 建立 不 同行 业 或 者 不 同 地 区 的 PKI。 但 是 为 了 实现 跨 
地 区 跨行 业 甚 至 跨国 际 的 电子 安全 业务 ,这些 不 同 的 PKI 之 间 互 联 互 通 和 互相 信任 是 不 
可 避免 的 。 
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2) CA 分 布 式 信任 结构 

分 布 式 信任 结构 把 信任 分 散 到 两 个 或 更 多 个 CA 上 。 采 用 严格 层次 结构 的 PKI 系统 
往往 在 一 个 企业 或 者 部 门 实施 ,为 了 将 这 些 PKI 系统 互 连 起 来 ,可 以 采用 下 列 两 种 方式 
建立 。 

(1) 中 心 辐射 配置 : 在 这 种 配置 中 ,有 一 个 中 心地 位 的 CA, 每 个 根 CA 都 和 这 个 中 心 
CA 进行 交叉 认证 。 

(2) 网 状 配置 : 所 有 根 CA 之 间 进 行 交 叉 认 证 。 

在 分 布 式 信任 结构 的 中 心 辐射 配置 中 ,中 心 CA 并 不 能 被 看 作 是 根 CA, 如 图 2. 31 所 
示 。 在 这 个 结构 中 ,可 能 有 多 个 根 CA, 每 个 实体 都 信任 自己 的 根 CA, 他 们 只 拥有 自己 根 
CA 的 公 钥 。 


用 户 用 户 | 用 户 用 户 





























图 2.31 CA 分布 式 信任 结构 的 中 心 辐射 配置 


一 个 终端 实体 A 可 以 按 如 下 方法 检验 另 一 个 终端 实体 B 的 证 书 。 如 果 他 们 拥有 同一 
个 根 CA 的 公 钥 ,认证 过 程 和 前 面 的 严格 层次 结构 一 样 。 否 则 ,A 可 以 利用 自己 的 根 CA 的 
公 钥 来 验证 中 心 CA 的 公 钥 ,然后 利用 中 心 CA 的 公 钥 来 验证 B 的 根 CA 的 公 钥 ,再 利用 B 
的 根 CA 的 公 钥 向 下 验证 ,直至 验证 终端 实体 B 的 证 书 。 

3) Web 模型 

Web 模型 建构 在 浏览 器 的 基础 上 ,如 Internet Explore 或 者 Firefox。 浏 览 器 厂商 在 浏 
览 器 中 内 置 了 多 个 根 CA, 浏 览 器 的 用 户 最 初 信任 这 些 CA 并 把 它们 作为 根 CA。 这 些 根 
CA 是 通过 物理 嵌入 软件 来 发 布 的 ,这 样 就 将 CA 的 名 字 和 它 的 公 钥 安全 绑 定 。 

图 2. 32 是 预 安装 在 IE 浏览 器 中 各 CA 的 公 钥 证 书 , 可 以 通过 IE 浏览 器 中 的 “工具 一 
Internet 选项 一 内 容 一 证 书 查 看 。 选 中 某 一 个 证 书 , 单 击 * 高 级 ?选项 ,可 以 看 到 该 证 书 的 
各 项 属性 。 

4) 以 用 户 为 中 心 的 信任 模型 

在 以 用 户 为 中 心 的 认证 模型 中 ,每 个 用 户 都 直接 决定 信赖 或 拒绝 哪个 证 书 。 最初 可 信 
的 密 钥 集 可 能 只 有 朋友 、 家 人 和 同事 等 。 这 种 模型 用 户 可 自己 决定 是 否 信 赖 某 个 证 书 , 安 全 
性 和 可 控 性 很 强 。 但 是 由 于 普通 用 户 很 少 有 了 解 PKI 机 制 的 ,所 以 这 种 模型 的 适用 范围 狂 
窗 。 这 种 模型 在 金融 ,政府 环境 都 是 不 适宜 的 ,因为 在 这 些 群 体 中 ,往往 需要 以 组 织 的 方式 
控制 一 些 公 钥 ,而 不 希望 完全 由 用 户 自己 控制 。 以 用 户 为 中 心 的 信任 模型 最 典型 的 就 是 著 
名 的 安全 软件 PGP。 
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图 2.32 安装 在 下 浏览 器 中 的 CA 公 钥 证 书 


5) 交叉 认证 模型 

交叉 认证 模型 是 一 种 把 各 个 CA 连接 在 一 起 的 机 制 ,可 以 是 单 向 的 ,如 在 CA 的 严格 层 
次 结构 中 ,上 层 CA 对 下 层 的 认证 ,也 可 以 是 双向 的 ,如 在 分 布 式 信任 结构 的 中 心 辐 射 配 置 
中 , 根 CA 与 中 心 CA 的 相互 认证 。 

在 两 个 CA 之 间 的 交叉 认证 是 指 一 个 CA 承认 另 一 个 CA 在 一 个 名 字 空 间 中 被 授权 颁 


发 的 证 书 , 如 图 2. 33 所 示 。 


用 户 用 户 用 户 用 户 
































2.33 交叉 认证 模型 


例如 假设 实体 A 已 经 被 CA1 认证 并 且 拥 有 CA1 的 公 钥 kl ,而 实体 B 已 被 CA2 认证 
并 且 拥 有 CA2 的 公 钥 k2。 在 交叉 认证 前 ,A 只 能 验证 CA1 颁发 的 证 书 ,而 不 能 验证 CA2 
颁发 的 证 书 , 而 B 则 只 能 验证 CA2 颁发 的 证 书 ,而 不 能 验证 CA1 颁发 的 证 书 。 在 CA1 和 
CA2 互相 交叉 认证 后 ,A 就 能 验证 CA2 的 公 钥 ,从 而 验证 CA2 颁发 的 证 书 ,B 也 能 验证 
CA1l 的 公 钥 从 而 验证 CA1l 颁发 的 证 书 。 

5. PKI 应 用 

PKI 技术 的 广泛 应 用 能 满足 人 们 对 网 络 交易 安全 保障 的 需求 。 当 然 作 为 一 种 基础 设 
施 ,PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,下 面 给 出 几 个 应 用 实例 。 

1) 虚拟 专用 网 络 (VPN) 

VPN 是 一 种 架构 在 公用 通信 基础 设施 上 的 专用 数据 通信 网络 ,利用 网 络 层 安全 协议 
(尤其 是 IPSEC) 和 建立 在 PKI 上 的 加 密 和 签名 技术 来 获得 机 密 性 保护 。 基 于 PKI 技术 的 
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IPSEC 协议 现在 已 经 成 为 架构 VPN 的 基础 , 它 可 以 为 路 由 器 之 间 、 防 火 墙 之 间或 者 路 由 器 
和 防火 墙 之 间 提 供 经 过 加 密 和 认证 的 通信 。 虽 然 它 的 实现 会 复杂 一 些 , 但 其 安全 性 比 其 他 
协议 都 完善 得 多 。 

2) 安全 电子 邮件 

随 着 Internet 的 持续 增长 ,电子 邮件 的 方便 快捷 已 使 其 成 为 重要 的 沟通 和 交流 工具 ,但 
目前 的 电子 邮件 系统 存在 较 大 的 安全 隐患 ,主要 包括 消息 和 附件 可 以 在 不 为 通信 双方 所 知 
的 情况 下 被 读 取 、 算 改 或 截 掉 , 发 信人 的 身份 无 法 确认 。 电 子 邮 件 的 安全 需求 也 是 机 密 性 、 
完整 性 、 认 证 和 不 可 否认 性 ,而 这 些 都 可 以 利用 PKI 技术 来 获得 。 

目前 已 经 被 广泛 应 用 的 安全 电子 邮件 协议 是 S/MIME (The Secure Multipurpose 
Internet Mail Extension) ,这 是 一 个 允许 发 送 加 密 和 有 签名 邮件 的 协议 ,该 协议 的 实现 需要 
依赖 于 PKI 技术。 

3) Web 安全 

为 了 透明 地 解决 Web 的 安全 问题 ,在 两 个 实体 进行 通信 之 前 , 先 要 建立 SSL 连接 ,以 
此 实现 对 应 用 层 透明 的 安全 通信 。 利 用 PKI 技术 ,SSL 协议 允许 在 浏览 器 和 服务 器 之 间 进 
行 加 密 通 信 。 此 外 ,服务 器 端 和 浏览 器 端 通信 时 双方 可 以 通过 数字 证 书 确 认 对 方 的 身份 。 
结合 SSL 协议 和 数字 证 书 ,PKI 技术 可 以 保证 Web 交易 多 方面 的 安全 需求 ,使 Web 上 的 交 
易 和 面对面 的 交易 一 样 安全 。 

从 目前 的 发 展 来 说 ,PKI 的 范围 非常 广 ,不 仅仅 局 限于 通常 认为 的 CA 机 构 , 它 还 包括 
完整 的 安全 策略 和 安全 应 用 。 因 此 ,PKI 的 开发 也 从 传统 的 身份 认证 到 各 种 与 应 用 相关 的 
应 用 场合 ,如 企业 安全 电子 商务 和 政府 的 安全 电子 政务 等 。 

另外 ,PKI 的 开发 也 从 大 型 的 认证 机 构 到 与 企业 或 政府 应 用 相关 的 中 小 型 PKI 系统 发 
展 , 既 保持 了 兼容 性 ,又 和 特定 的 应 用 相关 。 





2.9 小 结 


密码 学 是 关于 加 密 和 解密 变换 的 一 门 科 学 ,是 保护 数据 和 信息 的 有 力 武器 ,密码 学 作为 信 
息 安全 理论 与 技术 的 基石 ,在 信息 安全 领域 中 发 挥 着 中 流 碟 柱 的 作用 。 通 过 加 密 可 以 实现 信 
息 的 机 密 性 ,基于 密码 技术 的 消息 认证 还 能 提供 信息 的 完整 性 检验 , 即 提供 一 种 当 某 些 信息 被 
修改 时 可 被 用 户 检验 出 的 机 制 ; 密码 技术 还 可 实现 数字 签名 ,防止 通信 双方 的 相互 抵赖 。 现 
代 密 码 体制 主要 分 为 对 称 密码 体制 和 公 钥 密码 体制 ,密码 体制 的 安全 性 取决 于 密 钥 的 安全 , 密 
钥 管理 至 关 重 要 。 对 于 公 钥 密码 体制 需要 基于 公 钥 基础 设施 PKI 实现 公 钥 的 有 效 安全 管理 。 


习 题 
一 、 填 空 是 


1. 现代 密码 理论 的 理论 基础 是 香农 于 1949 年 发 表 的 著名 论文 ,对 称 密码 体 
制 和 非 对 称 密码 体制 的 代表 算法 分 别 是 和 
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2. 单 密 钥 系 统 的 加 密 密 钥 和 解密 密 铀 或 。 

3. 公 钥 密码 体制 的 编码 系统 是 基于 数学 中 的 函数 。 使 用 双 密 钥 系 统 的 公开 
密 钥 对 消息 进行 变换 可 以 实现 ,使 用 私有 密 钥 对 消息 进行 变换 可 以 实现 . 

4. 香农 提出 设计 密码 系统 的 两 种 基本 方法 是 和 

5. 消息 认证 是 实现 的 主要 手段 。 


6. 根据 明文 处 理 方式 和 密 钥 使 用 方式 的 不 同 , 可 以 将 密码 体制 分 成 分 组 密码 
和 








7. Kerckhoffs 准则 指出 数据 的 安全 应 该 基于 的 保密 。 
8. 破译 密码 的 方法 有 两 类 : 和 . 
9. 一 个 密码 仅 当 它 能 经 受 得 住 攻击 才 是 可 取 的 。 
10. 和 是 密码 体制 常用 的 基本 技术 。 
二 、 选择 题 
1. 数据 加 密 标准 DES 采用 的 密码 类 型 是 ( )5 
A. 序列 密码 B. 分 组 密码 C. 散 列 码 D. 随机 码 
2. 数字 签名 技术 不 能 解决 的 安全 问题 是 ( )5 
A. 第 三 方 冒充 B. 接收 方 算 改 C. 信息 窃取 D. 接收 方 伪造 


3. 关于 CA 和 数字 证 书 的 关系 ,以 下 说 法 不 正确 的 是 ( 
A. 数字 证 书 是 保证 双方 之 间 的 通信 安全 的 电子 信任 关系 , 它 由 CA 签发 
B. 数字 证 书 一 般 依靠 CA 中 心 的 对 称 密 钥 机 制 来 签名 
C. 在 电子 交易 中 ,数字 证 书 可 以 用 于 表明 参与 方 的 身份 
D. 数字 证 书 能 以 一 种 不 能 被 假冒 的 方式 证 明证 书 持 有 人 身份 
4. 若 A 给 B 发 送 一 封 邮 件 ,并 想 让 B 能 验证 邮件 是 由 A 发 出 的 , 则 A 应 该 选用 ( ) 


对 邮件 加 密 。 
A. A 的 公 钥 B. A 的 私 钥 C. B 的 公 钥 D. B 的 私 钥 
5. 在 RSA 密码 体制 中 ,如 果 /一 3,q=7, 取 一 5, 根 据 这 些 已 知 条 件 , 可 得 密 钥 为 ( Ws 
A. {5,12} B. {5,21} GCG T1720 D. 以 上 都 不 是 
6. PKI 的 主要 组 成 不 包括 ( 六 
A. CA B. IPSEC C. RA 有 eR 


7. 数字 签名 要 预先 使 用 单 向 Hash 函数 进行 处 理 的 原因 是 ( » 
A. 多 一 道 加 密 工序 使 密 文 更 难 破译 
B. 提高 密 文 的 计算 速度 
C. 缩小 签名 密 文 的 长 度 ,加快 数字 签名 和 验证 签名 的 运算 速度 
D. 保证 密 文 能 正确 还 原 成 明文 
.对 散 列 函 数 最 好 的 攻击 方式 是 ( ”)。 
A. 穷 举 攻击 B. 中 间 人 攻击 C. 字典 攻击 D. 生日 攻击 
三 、 简 答题 
1. 什么 是 密码 学 ? 什么 是 密码 编码 学 和 密码 分 析 学 ? 
2. 现代 密码 系统 的 5 个 组 成 部 分 是 什么 ? 
3. 密码 分 析 主 要 有 哪些 形式 ?” 各 有 何 特点 ? 


oo 
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4. 对 称 密码 体制 和 非 对 称 密码 体制 各 有 何 优 缺 点 ? 

5. 假设 Alice 想 发 送 消息 M 给 Bob ,出 于 机 密 性 以 及 确保 完整 性 和 不 可 否认 性 的 考 
虑 ,Alice 可 以 在 发 送 前 对 消息 进行 签名 和 加 密 , 其 操作 顺序 对 安全 性 有 无 影响 ? 

6. 简 述 用 RSA 算法 实现 机 密 性 .完整 性 和 抗 否 认 性 的 原理 。 

7. 已 知 有 明文 “public key encryption”, 先 将 明文 以 2 个 字母 为 组 分 成 10 块 ,如 果 利 用 
英文 字母 表 的 顺序 , 即 a 二 00,b 二 01,…, 将 明文 数据 化 。 现 在 令 p= 二 53,g 王 58, 请 计算 出 
RSA 的 加 密 明 文 。 

8. 在 使 用 RSA 公 钥 中 如 果 截 取 了 发 送 给 其 他 用 户 的 密 文 C= 二 10, 若 此 用 户 的 公 钥 为 
e 一 5 2 一 35, 请 问 明 文 的 内 容 是 什么 ? 

9. 什么 是 散 列 函 数 ? 散 列 函数 有 哪些 应 用 ? 

10. 消息 认证 的 方法 有 哪些 ? 

11. 什么 是 数字 签名 ? 常用 的 算法 有 哪些 ? 

12. 请 谈 谈 你 对 密码 体制 无 条 件 安 全 和 计算 上 安全 的 理解 。 

13. 知识 扩展 : 访问 网 站 http://www. tripwire. com, 了解 完整 性 校 验 工具 Tripwire 
的 更 多 信息 。 

14. 知识 扩展 : 访问 中 国电 子 签名 网 站 http://www. eschina. info, 了 解 电子 签名 的 研 
究 动态 和 最 新 应 用 。 

15. 知识 扩展 : 访问 国家 密码 管理 局 (国家 商用 密码 管理 办 公 室 ) 网 站 http://www. 
oscca. gov. cn,* 了 解 我 国 商用 密码 管理 规定 、 商 用 密码 产品 等 信息 。 


第 3 章 信息 系统 的 物理 安全 和 可 靠 性 


计算 机 硬件 及 其 运行 环境 是 计算 机 信息 系统 运行 的 基础 ,它们 的 安全 直接 影响 着 整个 
信息 系统 的 安全 。 由 于 自然 灾害 、 设 备 自身 的 缺陷 .设备 的 自然 损坏 和 受到 环境 干扰 等 自然 
因素 ,以 及 人 为 的 窃取 和 破坏 等 原因 ,计算 机 设备 和 其 中 信息 的 安全 面临 很 大 的 问题 。 本 章 
主要 讨论 从 物理 层面 增强 信息 系统 安全 的 方法 。 

3.1 节 给 出 了 物理 安全 的 定义 ,指出 了 狭义 和 广义 物理 安全 包含 范畴 的 不 同 , 明 确 本 章 
讲述 的 物理 安全 包括 环境 安全 、 设 备 安全 、 媒 体 (介质 ) 安 全 .系统 安全 。3. 2 一 3.4 节 分 别 介 
绍 了 环境 安全 ,设备 安全 和 媒体 (介质 ) 安 全 。3. 5 节 介绍 了 系统 安全 ,可 靠 性 是 评价 系统 安 
全 的 重要 指标 ,指出 提高 系统 可 靠 性 一 般 采 取 避 错 、 容 错 和 容 灾 备 份 技术 。3. 6、3. 7 节 分 别 
介绍 了 容错 和 灾难 恢复 技术 。 


3.1 物理 安全 概述 


根据 国家 标准 《信息 安全 技术 信息 系统 物理 安全 技术 要 求 ), 物理 安 全 (Physical 
Security) 是 指 为 了 保证 信息 系统 安全 可 靠 运行 ,确保 信息 系统 在 对 信息 进行 采集 、 处 理 \ 传 
输 、 存 储 的 过 程 中 ,不 致 受到 人 为 或 自然 因素 的 危害 而 使 信息 丢失 、 汇 露 或 破坏 ,对 计算 机 设 
备 、 设 施 (包括 机 房 建筑 ,供电 、 空 调 等 ) ,环境 人 员 、 系 统 等 采取 适当 的 安全 措施 。 

物理 安全 是 计算 机 网 络 信息 系统 运行 的 基础 ,直接 影响 着 计算 机 信息 系统 的 安全 。 以 
下 是 计算 机 系统 物理 安全 唱 到 破坏 的 一 个 典型 的 例子 。 

2006 年 12 月 26 日 晚 8 时 26 分 至 40 分 间 , 我 国 台湾 屏 东 外 海 发 生地 震 。 大 陆 出 口 光 
缆 、 中 美 海 缆 、 亚 太 1 号 等 至 少 6 条 海底 通信 光缆 发 生 中 断 , 造 成 我 国 大 陆 至 台湾 地 区 、 美 
国 、 欧 洲 的 通信 线路 大 量 中 断 , 互 联网 大 面积 瘫 疾 , 除 我 国外 ,日 本 、 韩 国 、 新 加 坡 网 民 均 受 到 
影响 。 

传统 意义 的 物理 安全 包括 设备 安全 环境 安全 以 及 介质 安全 ,涉及 到 的 安全 技术 解决 了 
由 于 设备 /设施 /介质 的 硬件 条 件 所 引发 的 信息 系统 物理 安全 威胁 问题 ,从 系统 的 角度 看 ,这 
一 层面 的 物理 安全 是 狭义 的 物理 安全 ,是 物理 安全 的 最 基本 内 容 。 广 义 的 物理 安全 还 应 包 
括 由 软件 、 硬 件 、 操 作 人 员 组 成 的 整体 信息 系统 的 物理 安全 , 即 包括 系统 物理 安全 。 

本 章 讨论 的 物理 安全 包括 环境 安全 、 设 备 安全 介质 安全 、 系 统 安 全 4 个 方面 。 

1. 环境 安全 

环境 安全 是 指 为 保证 信息 系统 安全 可 靠 运 行 所 提供 的 安全 运行 环境 ,使 信息 系统 得 到 
物理 上 的 严密 保护 ,从 而 降低 或 避免 各 种 安全 风险 。 技 术 要 素 包 括 机 房 场地 选择 、 机 房 屏 
蔽 、 防 火 、 防 水 、 防 雷 、 防 鼠 、 防 瓷 防 毁 、 供 配 电 系统 、 空 调 系 统 、 综 合 布线 区域 防 护 等 方面 。 

2. 设备 安全 


设备 安全 是 指 为 保证 信息 系统 的 安全 可 靠 运 行 ,降低 或 阻止 人 为 或 自然 因素 对 硬件 设 
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备 安全 可 靠 运行 带 来 的 安全 风险 ,对 硬件 设备 及 部 件 所 采取 的 适当 安全 措施 ,其 技术 要 素 包 
括 设备 的 防盗 、 防 电磁 泄露 . 抗 电磁 干扰 .电源 保护 以 及 设备 振动 .碰撞 、 冲 击 适应 性 等 方面 。 

3. 介质 安全 

介质 安全 是 指 存储 信息 的 介质 的 安全 ,能 够 安全 保管 防盗. 防 损坏 和 防 霉 。 

4. 系统 安全 

系统 安全 是 指 为 保证 信息 系统 的 安全 可 靠 运行 ,降低 或 阻止 人 为 或 自然 因素 从 物理 层 
面 对 信 息 系统 保密 性 、 完 整 性 、 可 用 性 带 来 的 安全 威胁 ,从 系统 的 角度 采取 的 适当 安全 措施 ， 
如 通过 边界 保护 .配置 管理 .设备 管理 等 措施 保护 信息 系统 的 保密 性 ; 通过 容错 ,故障 恢复 、 
系统 灾难 备份 等 措施 确保 信息 系统 的 可 用 性 ; 通过 设备 访问 控制 .边界 保护 .设备 及 网 络 资 
源 管 理 等 措施 确保 信息 系统 的 完整 性 。 


3.2 环境 安全 


3.2.1 环境 安全 面临 的 威胁 


计算 机 的 运行 环境 对 计算 机 的 影响 非常 大 ,影响 计算 机 运行 的 环境 因素 主要 有 温度 、 湿 
度 、 灰 尘 、 腐 蚀 等 ,这 些 因素 从 不 同 侧面 影响 计算 机 的 可 靠 工 作 。 

1. 温度 

无 论 是 台式 机 还 是 笔记 本 ,计算 机 元 器 件 如 CPU 主板、 显卡 声卡、 网 卡 都 是 封闭 在 机 
箱 内 的 ,计算 机 在 工作 的 时 候 , 机 箱 内 部 温度 很 高 ,所 以 计算 机 都 配备 有 风扇 等 散热 设备 ,但 
是 如 果 计 算 机 持续 工作 或 外 部 环境 过 高 ,计算 机 元 器 件 的 温度 会 过 高 ,即使 有 散热 设备 也 无 
法 保证 计算 机 处 于 正常 工作 的 温度 范围 。 计 算 机 正常 工作 的 温度 范围 是 0 一 45C 。 当 环境 
温度 超过 60C 时 ,计算 机 系统 就 不 能 正常 工作 ,温度 每 升 高 107 ,电子 元 器 件 的 可 靠 性 就 会 
降低 25%。 元 器 件 可 靠 性 降低 会 直接 影响 计算 机 的 正确 运算 ,从 而 影响 计算 结果 的 正 
确 性 。 

另外 ,温度 对 磁 介 质 的 导 磁 率 影响 很 大 ,磁盘 表面 的 磁 介 质 具有 热 胀 冷 缩 的 特性 ,如 果 
温度 过 高 或 过 低 , 磁 盘 表 面 会 发 生变 形 , 从 而 造成 数据 的 读 写 错误 ; 温度 过 高 还 会 使 插头 、 
插座 、 计 算 机 主板 、 各 种 信号 线 腐蚀 速度 加 快 ,容易 造成 接触 不 良 ; 温度 过 高 也 对 显示 器 造 
成 不 良 的 影响 ,会 使 显示 器 各 线圈 骨架 尺寸 发 生变 化 ,使 图 像 质量 下 降 。 

总 之 ,环境 温度 过 高 或 过 低 都 容易 引起 硬件 损坏 ,计算 机 工作 的 环境 温度 一 般 应 控制 在 
20YC 左 右 。 

2. 湿度 

如 果 环 境 相对 湿度 低 于 40% ,环境 比较 干燥 ; 如 果 高 于 60% , 则 比较 潮湿 。 湿 度 过 高 
或 过 低 对 计算 机 的 可 靠 运行 都 有 影响 。 

湿度 过 大 会 使 元 器 件 的 表面 附着 一 层 很 薄 的 水 膜 ,造成 元 器 件 各 引 脚 之 间 的 漏电 。 当 
水 膜 中 含有 杂质 时 ,它们 会 附着 在 元 器 件 引 脚 .导线 .接头 表面 ,造成 这 些 表面 发 址 和 触 点 腐 
蚀 。 磁 性 介质 是 多 孔 材 料 ,在 相对 湿度 高 的 情况 下 , 它 就 会 吸收 空气 中 的 水 分 变 潮 ,使 其 导 
磁 率 发 生 明显 变化 ,造成 磁 介 质 上 的 信息 读 写 错误 。 
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湿度 过 低 则 意味 着 环境 比较 干燥 ,过 于 干燥 就 很 容易 产生 静电 。 在 环境 非常 干燥 的 情 
况 下 去 触摸 元 器 件 , 会 造成 元 器 件 的 损害 。 除 此 之 外 ,过 于 干燥 的 空气 还 可 能 会 造成 磁 介质 
上 的 信息 被 破坏 、 纸 张 变 脆 、 印 刷 电路 变形 等 危害 。 

计算 机 正常 的 工作 湿度 应 该 控制 在 40 闪 一 60%%。 

3. 灰尘 

空气 中 的 灰尘 对 计算 机 中 的 精密 机 械 装 置 , 如 磁盘 .光盘 驱动 器 影响 很 大 。 磁 盘 机 、 光 
盘 机 的 读 头 与 盘 片 之 间 的 距离 很 小 ,不 到 lym, 在 高 速 旋转 过 程 中 各 种 灰尘 ,其 中 包括 纤维 
性 灰尘 会 附着 在 盘 片 表面 , 当 读 头 靠近 盘 片 表面 读 信号 的 时 候 ,就 可 能 擦 伤 盘 片 表面 或 者 麻 
损 读 头 ,造成 数据 读 写 错 误 或 数据 丢失 。 灰 尘 中 还 可 能 有 导电 性 和 腐蚀 性 尘埃 ,附着 在 元 器 
件 与 电子 线路 的 表面 ,在 湿度 很 大 的 情况 下 ,会 造成 短路 或 腐蚀 裸露 的 金属 表面 。 因 此 需要 
对 进入 机 房 的 空气 进行 过 滤 , 并 采取 严格 的 机 房 卫生 制度 ,降低 机 房 灰尘 的 含量 。 


3.2.2 环境 安全 防护 


为 规范 电子 信息 系统 机 房 设计 ,确保 电子 信息 系统 设备 安 人 全、 稳定、 可靠 地 运行 ， 
GB 50174-2008《 电 子 信 息 系 统 机 房 设计 规范 》( 以 下 简称 (规范 》) 对 机 房 分 级 与 性 能 要 求 、 
机 房 位 置 与 设备 布置 环境 要 求 ,建筑 与 结构 、 空 气 调节 、 电 气 、 电 磁 屏 项 、 机 房 布线 ,机 房 监 
控 与 安全 防范 、 给 水 排水 、 消 防 等 方面 提出 了 具体 要 求 。 

1. 机 房 安全 等 级 

计算 机 系统 中 的 各 种 数据 依据 其 重要 性 和 保密 性 ,可 以 划分 为 不 同等 级 ,需要 提供 不 同 
级 别 的 保护 。 对 于 高 等 级 数据 采取 低 水 平 的 保护 会 造成 不 应 有 的 损失 ,对 不 重要 的 信息 提 
供 多 余 的 保护 ,又 会 造成 不 应 有 的 浪费 。 因 此 ,应 对 计算 机 机 房 规 定 不 同 的 安全 等 级 。《 规 
范 ) 将 电子 信息 系统 机 房 划 分 为 A、B、C 三 级 ,设计 时 应 根据 机 房 的 使 用 性 质 、 管 理 要 求 及 其 
在 经 济 和 社会 中 的 重要 性 确定 所 属 级 别 。 

符合 下 列 情况 之 一 的 电子 信息 系统 机 房 应 为 A 级 : 

(1) 电子 信息 系统 运行 中 断 将 造成 重大 的 经 济 损失 。 

(2) 电子 信息 系统 运行 中 断 将 造成 公共 场所 秩序 严重 混乱 。 

例如 国家 气象 台 、 国 家 级 信息 中 心 .重要 的 军事 指挥 部 门 、 大 中 城市 的 机 场 、 广 播 电 台 、 
电视 台 等 的 电子 信息 系统 机 房 和 重要 的 控制 室 应 为 A 级 。 

符合 下 列 情况 之 一 的 电子 信息 系统 机 房 应 为 了 级 : 

(1) 电子 信息 系统 运行 中 断 将 造成 较 大 的 经 济 损失 。 

(2) 电子 信息 系统 运行 中 断 将 造成 公共 场所 秩序 混乱 。 

例如 ,科研 院 所 、 高 等 院 校 ,三 级 医院 、 大 中 城市 的 气象 台 、 省 部 级 以 上 政府 办 公 楼 、 大 型 
工矿 企业 等 的 电子 信息 系统 机 房 和 重要 的 控制 室 应 为 了 级 。 

不 属于 A 级 或 B 级 的 电子 信息 系统 机 房 为 C 级 。 

人 A 级 电子 信息 系统 机 房 内 的 场地 设施 应 按 容错 系统 配置 ,在 电子 信息 系统 运行 期 间 ， 
场地 设施 不 应 因 操作 失误 .设备 故障 .外 电源 中 断 、 维 护 和 检修 而 导致 电子 信息 系统 运行 中 
断 。 容 错 系统 是 具有 两 套 或 两 套 以 上 相同 配置 的 系统 ,在 同一 时 刻 , 至 少 有 两 套 系统 在 工 
作 。 按 容错 系统 配置 的 场地 设备 ,至 少 能 经 受 住 一 次 严重 的 突 发 设备 故障 或 人 为 操作 失误 
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事件 而 不 影响 系统 的 运行 。 

B 级 电子 信息 系统 机 房 内 的 场地 设施 应 按 元 余 要 求 配置 ,在 系统 运行 期 间 , 场 地 设施 在 
宛 余 能 力 范围 内 ,不 应 因 设备 故障 而 导致 电子 信息 系统 运行 中 断 。 宛 余 系 统 是 重复 配置 系 
统 的 一 些 部 件 或 全 部 部 件 , 当 系统 发 生 故 障 时 ,元 余 配置 的 部 件 介 入 并 承担 故障 部 件 的 工 
作 , 由 此 减少 系统 的 故障 时 间 。 

C 级 电子 信息 系统 机 房 内 的 场地 设施 应 按 基本 需求 配置 ,在 场地 设施 正常 运行 的 情况 
下 ,应 保证 电子 信息 系统 运行 不 中 断 。 

2. 机 房 位 置 及 设备 布置 要 求 

1) 机 房 位 置 选择 

电子 信息 系统 机 房 位 置 选择 应 符合 下 列 要 求 ， 

(1) 电力 供给 应 稳定 可 靠 , 交 通 、 通 信 应 便捷 ,自然 环境 应 清洁 。 

(2) 应 远离 产生 粉尘 、 油 烟 、 有 害 气 体 以 及 生产 或 储存 具有 腐蚀 性 、 易 燃 、 易 爆 物品 的 
场所 。 

(3) 远离 水 灾 、 火 灾 隐 患 区域 。 

(4) 远离 强 振 源 和 强 噪声 源 。 

(5) 避 开 强 电磁 场 干扰 。 

对 于 多 层 或 高 层 建筑 物 内 的 电子 信息 系统 机 房 ,在 确定 主机 房 的 位 置 时 ,应 对 设备 运 
输 .管线 敷设 .雷电 感应 和 结构 荷载 等 问题 进行 综合 考虑 和 经 济 比较 ; 采用 机 房 专用 空调 的 
主机 房 ,应 具备 安装 室外 机 的 建筑 条 件 。 

2) 机 房 组 成 

电子 信息 系统 机 房 的 组 成 应 根据 系统 运行 特点 及 设备 具体 要 求 确定 ,一般 宜 由 主机 房 、 
辅助 区 ,支持 区 和 行政 管理 区 等 功能 区 组 成 。 

主机 房 的 使 用 面积 应 根据 电子 信息 设备 的 数量 .外 形 尺 寸 和 布置 方式 确定 ,并 预 留 今后 
业务 发 展 需要 的 使 用 面积 。 辅 助 区 的 面积 宜 为 主机 房 面积 的 0.2 一 1 倍 ; 用 户 工作 室 可 按 
每 人 3.5 一 4m: 计算 ; 硬件 及 软件 人 员 办 公 室 等 有 人 长 期 工作 的 房间 ,可 按 每 人 5 一 7m? 计算 。 

3) 设备 布置 

电子 信息 系统 机 房 的 设备 布置 应 满足 机 房管 理 、 人 员 操 作 和 安全 ,设备 和 物料 运输 、 设 
备 散 热 ,安装 和 维护 的 要 求 。 

产生 尘埃 及 废物 的 设备 应 远离 对 尘埃 敏感 的 设备 ,并 宜 布置 在 有 隔断 的 单独 区 域内 。 

当 机 柜 或 机 架 上 的 设备 为 前 进 风 / 后 出 风 方式 冷却 时 ,机 柜 和 机 架 的 布置 宜 采用 面对面 
和 背 对 背 的 方式 。 

主机 房 内 和 设备 间 的 距离 应 符合 下 列 规定 : 

(1) 用 于 搬运 设备 的 通道 净 宽 不 应 小 于 1. 5m; 

(2) 面对面 布置 的 机 柜 或 机 架 正 面 之 间 的 距离 不 应 小 于 1. 2m; 

(3) 背 对 背 布 置 的 机 柜 或 机 架 背 面 之 间 的 距离 不 应 小 于 1m; 

(4) 当 需 要 在 机 柜 侧面 维修 测试 时 ,机 柜 与 机 柜 、 机 柜 与 墙 之 间 的 距离 不 应 小 于 1. 2m; 

(5) 成 行 排列 的 机 柜 , 其 长 度 超过 6m 时 ,两 端 应 设 有 出 口 通道 ; 当 两 个 出 口 通道 之 间 
的 距离 超过 15m 时 ,在 两 个 出 口 通 道 之 间 还 应 增加 出 口 通道 ; 出 口 通道 的 宽度 不 应 小 于 
lm, 局 部 可 为 0. 8m。 
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3. 机 房 的 环境 条 件 

1) 温度 ,湿度 及 空气 含 侍 浓度 

主机 房 和 辅助 区 内 的 温度 、 相 对 湿度 应 满足 电子 信息 设备 的 使 用 要 求 ; 无 特殊 要 求 时 ， 
应 根据 电子 信息 系统 机 房 的 等 级 ,按照 表 3. 1 所 示 的 要 求 执行 。 


表 3.1 机 房 温度 、 相 对 湿度 要 求 









































技术 要 求 
项 目 备注 
A 级 B 级 C 级 
主机 房 温度 (开机 时 ) 23C 士 1C 18~28'C 
主机 房 相 对 湿度 (开机 时 ) 40% 一 55% 35%~75% 不 得 结 露 
主机 房 温度 (停机 时 ) 5~35C 
主机 房 相 对 湿度 (停机 时 ) 40%~70% 20%~80% 不 得 结 圳 
主机 房 和 辅助 区 温度 变化 率 ( 开 、 停 机 时 ) <5C/h <10C/h 
辅助 区 温度 、 相 对 湿度 (开机 时 ) 18 一 28C .35%~75% 
辅助 区 温度 .相对 湿度 温度 (停机 时 ) 5~35'C ,20%~80% 
不 间断 电源 系统 电池 室温 度 15~25°C 


A 级 和 B 级 主机 房 的 含 尘 浓度 ,在 静态 条 件 下 测试 ,每 升 空气 中 大 于 或 等 于 0. 5pm 的 
尘 粒 数 应 少 于 18 000 粒 。 

对 于 重要 的 系统 机 房 ,应 安装 吹 尘 、 吸 尘 设备 ,排除 进入 人 员 所 带 的 灰尘 。 空 调 系统 进 
风口 应 安装 空气 滤 清 器 ,并 应 定期 清洁 和 更 换 过 滤 材料 ,以 防 灰 尘 进入 ,同时 进 风 压力 要 大 ， 
房间 要 密封 ,使 室内 空气 压力 高 于 室外 ,防止 室外 灰尘 进入 室内 。 

2) 噪声 ,电磁 干扰 ,振动 及 静电 

有 人 值守 的 主机 房 和 辅助 区 ,在 电子 信息 设备 停机 时 ,在 主 操作 员 位 置 测 量 的 噪声 值 应 
小 于 65dB(A)。 

主机 房 内 无 线 电 干 扰 场 强 , 在 频率 为 0.15 一 1000MHz 时 ,主机 房 和 辅助 区 内 的 无 线 电 
干扰 场 强 不 应 大 于 126dB。 

主机 房 和 辅助 区 内 磁场 干扰 环境 场 强 不 应 大 于 800A/m。 

在 电子 信息 设备 停机 条 件 下 .主机 房 地 板 表面 垂直 及 水 平 向 的 振动 加 速度 值 ,不 应 大 于 
500mm/s’ 。 

主机 房 和 辅助 区 的 绝缘 体 的 静电 电位 不 应 大 于 1KV。 

机 房 场地 环境 要 求 更 详细 的 内 容 , 可 以 参阅 GB 50174-2008( 电 子 信 息 系统 机 房 设计 规范 》。 





3.3 设备 安全 


3.3.1 设备 安全 面临 的 威胁 


1. 计算 机 硬件 容易 被 盗 
纵 观 PC 的 发 展 历史 ,微型 化 、 移 动 化 是 其 发 展 趋势 。 人 们 最 早 使 用 的 是 CRT 显示 器 
和 较 大 的 机 箱 ,设备 非常 笨重 ,目前 CRT 显示 器 已 经 被 液晶 显示 器 取代 ; 便携 式 电 脑 、 以 
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iPad 为 代表 的 智能 移动 终端 的 出 现 给 人 们 的 工作 和 娱乐 带 来 了 方便 。PC 朝 着 体积 越 来 越 
小 、 越 来 越 便携 的 方向 发 展 , 给 人 们 带 来 便利 的 同时 也 带 来 了 容易 被 盗窃 的 风险 。 目 前 ,PC 
的 机 箱 一 般 都 设计 成 便于 用 户 打开 的 ,有 的 甚至 连 螺钉 旋 具 也 不 需要 ,而 便携 式 电脑 .智能 
移动 终端 整个 机 器 都 能 够 很 容易 被 搬 走 ,其 中 数据 的 安全 就 更 谈 不 上 了 。 

2. 电磁 泄露 

电磁 泄露 是 指 电子 设备 的 杂 散 (寄生 ) 电 磁 能 量 通过 导线 或 空间 向 外 扩散 ,使 用 专门 的 
接收 设备 将 这 些 电 磁 辐射 接收 下 来 ,经 过 处 理 , 就 可 以 恢复 还 原 出 原 信息 ,如 图 3. 1 所 示 。 
任何 处 于 工作 状态 的 电磁 信息 设备 如 主机 磁盘 、 显 示 器 、 打 印 机 等 工作 时 都 会 产生 不 同 程 
度 的 电磁 泄露 ,尤其 是 显示 器 ,由 于 显示 的 信息 是 给 人 阅读 的 ,不 加 任何 保密 措施 ,因此 其 产 
生 的 辐射 是 最 容易 造成 泄密 的 。 随 着 信息 技术 设备 处 理 速度 的 不 断 提高 ,电磁 发 射 的 强度 
也 不 断 增强 ,对 信息 设备 安全 的 威胁 也 就 越 大 。 





信息 安全 保密 
显示 器 电磁 泄漏 还 原 实 验 


2007 年 7 月 28 日 





图 3.1 电磁 泄露 的 还 原 效果 


计算 机 及 其 外 部 设备 的 信息 可 以 通过 两 种 方式 泄露 出 去 。 一 种 是 以 电磁 波 的 形式 辐射 
出 去 , 称 为 辐射 泄露 。 经 实际 仪器 测试 ,在 距离 计算 机 几 百 米 以 外 的 距离 可 以 根据 接收 到 的 
电磁 波 复 现 显 示 器 上 显示 的 信息 ,计算 机 屏幕 上 的 信息 在 其 所 有 者 毫 不 知晓 的 情况 下 泄露 
出 去 。1985 年 ,在 法 国 召开 的 “计算 机 与 通信 ”国际 会 议 上 ,荷兰 的 一 位 工程 师 WinvanEck 
公开 了 他 窃取 微机 信息 的 技术 。 他 用 价值 仅 几 百 美 元 的 器 件 对 普通 电视 机 进行 改造 ,然后 
装 在 汽车 里 ,从 楼 下 的 街道 接收 到 了 放置 在 8 层 楼 上 的 计算 机 电磁 泄漏 的 信息 ,并 显示 出 计 
算 机 屏幕 上 显示 的 图 像 。 另 一 种 是 通过 各 种 线路 和 金属 管 传导 出 去 的 , 称 为 传导 泄露 。 例 
如 ,计算 机 的 电源 线 、 机 房 内 的 电话 线 、 上 (下 ) 水 管道 和 暖气 管道 ,地 线 等 都 可 能 作为 传导 介 
质 。 这 些 金属 导体 有 时 也 起 着 天 线 作 用 ,将 传导 的 信号 辐射 出 去 。 在 这 些 泄漏 源 中 ,最 大 量 
和 最 基本 的 辐射 源 是 载 流 导线 。 美 国 曾 在 20 世纪 70 年 代 在 前 苏联 领海 纵深 内 部 的 鄂 霍 次 
克海 120m 深 的 海底 军事 通信 电缆 上 安装 了 6m 长 的 窃听 设备 ,记录 了 所 有 经 过 电费 的 通信 
信号 ,由 于 没有 采取 任何 加 密 措施 ,大 量 的 军事 情报 便 轻 而 易 举 地 落 在 了 美国 人 的 手 里 。 

理论 分 析 和 实际 测量 表明 ,影响 计算 机 电磁 辐射 强度 的 因素 有 : (1) 功 率 和 频率 。 设 备 
的 功率 越 大 ,辐射 强度 越 大 。 信 号 频率 越 高 ,辐射 强度 越 大 。(2) 距 离 因 素 。 在 其 他 条 件 相 
同 的 情况 下 ,高 辐射 源 越 近 , 辐 射 强度 就 越 大 ; 离 辐 射 源 越 远 , 则 辐射 强度 越 小 。 也 就 是 说 ， 
辐射 强度 与 距离 成 反比 。(3) 屏 项 状况 。 辐 射 源 是 否 屏蔽 ,屏蔽 情况 的 好 坏 , 对 辐射 强度 的 
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影响 都 很 大 。 

3. 电气 与 电磁 干扰 

电气 干扰 是 指 电网 电压 引起 的 干扰 ,常见 的 电气 干扰 是 指 电压 瞬间 较 大 幅度 的 变化 、 突 
发 的 尖 脉 冲 或 电压 不 足 甚至 掉 电 。 例 如 ,机 房 内 使 用 较 大 功率 的 吸尘器 .电钻 ,机 房 外 使 用 电 
锯 、 电 焊 机 等 大 用 电量 设备 ,这 些 情况 都 容易 在 附近 的 计算 机 电源 中 产生 电器 噪声 信号 干扰 。 
这 些 干 扰 一 般 容易 破坏 信息 的 完整 性 ,有 时 还 会 损坏 计算 机 设备 。 防 止 电气 干扰 的 办 法 是 采 
用 稳 压 电源 或 不 间断 电源 ,为 了 防止 突 发 的 电源 尖 脉 冲 , 对 电源 还 要 增加 滤波 和 隔离 措施 。 

电磁 干扰 是 指 经 辆 射 或 传导 的 电磁 能 量 对 设备 或 信号 传输 造成 的 不 良 影 响 。 过 去 人 们 
往往 认为 计算 机 是 具有 逻辑 特征 的 数字 系统 , 受 电磁 干扰 的 影响 不 大 ,但 随 着 微 电 子 技术 的 
发 展 ,计算 机 已 朝 高 速度 、 高 灵敏 度 、 高 集成 度 的 方向 发 展 ,使 得 系统 的 抗 电磁 干扰 度 降 低 。 
比较 常见 的 一 种 现象 就 是 站 在 电视 机 前 或 计算 机 前 使 用 手机 时 ,计算 机 中 会 出 现 波形 ,这 就 
是 电磁 干扰 。 

一 方面 计算 机 本 身 会 产生 电磁 和 干扰。 计算 机 中 的 元 器 件 长 期 使 用 后 其 性 能 会 衰减 , 它 
们 的 性 能 参数 往往 会 偏离 理论 值 ,加 之 工作 环境 温度 不 稳定 ,引起 电子 线路 \ 设 备 或 系统 内 
部 元 器 件 参数 改变 ,从 而 使 元 器 件 存 在 不 同 程度 的 噪声 干扰 ; 每 个 元 器 件 和 每 根 导线 上 均 
流 过 一 定 大 小 的 电流 ,因此 其 周围 都 会 形成 一 定 大 小 的 磁场 。 当 计算 机 电路 中 的 元 器 件 或 
线路 布局 不 合理 、, 电 路 间 耦 合 不 良 时 ,就 会 在 导线 间 产 生 分 布 电 容 或 电感 ,寄生 耦合 便 通 过 
它们 耦合 进 计算 机 ,使 信号 畸变 出 错 ; 如 果 信 号 线 阻抗 与 负载 阻抗 不 完全 匹配 ,脉冲 信号 就 
会 在 传输 线 中 产生 反射 现象 ,使 信号 波形 产生 瞬时 冲击 ,造成 电路 逻辑 故障 。 计 算 机 插件 印 
制 板 金属 化 孔 通 导 不 良 、 印 制 线 粗 细 不 均匀 ,都 会 产生 信号 反射 干扰 ; 计算 机 中 的 高 频 电 路 
不 仅 会 产生 时 序 信号 ,还 会 产生 辐射 干扰 。 计 算 机 内 部 产生 的 电磁 干扰 不 但 会 造成 计算 机 
本 身 的 工作 异常 ,而 且 还 可 能 造成 计算 机 数据 信息 的 失 密 和 失窃 。 

另 一 方面 计算 机 外 部 的 设备 也 会 产生 电磁 和 干扰。 计算 机 工作 在 一 段 很 宽 的 工作 频率 范 
围 内 , 它 基 本 上 与 工业 、 科 技 、 医 学 高 频 设 备 ,广播 .电视 、 通 信 、 雷 达 等 射频 设备 的 工作 频段 
相同 ,致使 计算 机 工作 在 一 个 相当 复杂 的 电磁 环境 中 ,容易 使 这 些 设备 受 干 扰 。 如 果 在 计算 
机 房 内 使 用 较 大 功率 的 吸尘器 .电钻 ,在 机 房 外 使 用 电 锯 ,电焊 机 等 大 用 电量 设备 ,这 些 设备 
的 使 用 会 对 计算 机 信号 造成 干扰 ,甚至 会 造成 传输 信息 的 丢失 、 计 算 机 设备 的 破坏 。 来 自 于 
大 自然 的 雷电 、 大 气 放电 、 地 球 热 辐射 的 干扰 会 产生 随机 电流 , 轻 则 增加 电 品 声 干 扰 ,使 计算 
机 信息 出 错 , 重 则 使 计算 机 元 器 件 击 穿 ,使 计算 机 设备 损坏 ; 静电 危害 是 计算 机 、 半 导体 器 
件 的 “大 敌 ”, 是 造成 微机 半导体 损坏 的 基本 原因 。 有 研究 指出 , 当 穿 塑料 鞋 走动 , 穿 尼龙 或 
丝绸 工作 服 在 工作 台 前 长 期 工作 时 都 可 能 产生 很 高 的 静电 电压 ,不 仅 会 使 磁 记录 破坏 ,还 会 
使 计算 机 设备 外 壳 产 生 静 电感 应 。 

因此 外 部 电磁 环境 的 干扰 和 系统 内 部 的 互相 干扰 ,严重 威胁 着 计算 机 系统 工作 的 稳定 
性 和 可 靠 性 。 


3.3.2 设备 安全 防护 


设备 安全 防护 包括 设备 的 防盗 \ 防 止 电磁 泄漏 、 抗 电磁 干扰 、 电 源 保 护 等 。 
1. 设备 防盗 
设备 防盗 就 是 利用 一 定 的 防盗 手段 保护 计算 机 信息 系统 的 设备 和 部 件 ,以 提高 计算 机 
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信息 系统 设备 和 部 件 的 安全 性 。 早 期 的 防盗 主要 采取 增加 质量 或 胶 粘 的 方法 ,使 设备 长 久 
固定 或 黏 接 在 一 个 固定 点 。 虽 然 增加 了 安全 性 ,但 对 于 移动 和 调整 位 置 十 分 不 便 。 之 后 ,又 
出 现 了 将 设备 和 固定 盘 用 锁 连接 ,打开 锁 才 能 搬运 设备 的 方法 。 常 见 的 锁 有 机 箱 锁 扣 、 
Kensington 锁 孔 、 机 箱 电 磁 锁 等 。 

机 箱 锁 扣 的 实现 方式 非常 简单 。 在 机 箱 上 固定 一 个 带 孔 的 金属 片 ,然后 在 机 箱 侧 板 上 
打 一 个 孔 , 当 侧 板 安装 在 机 箱 上 时 ,金属 片 刚好 穿 过 锁 孔 ,此 时 用 户 在 锁 孔 上 加 装 一 把 锁 就 
实现 了 防护 功能 。 这 种 锁 实现 起 来 比较 简单 .造价 低 , 但 防护 强度 有 限 、 安 全 系数 低 。 

Kensington 锁 孔 由 美国 的 Kensington 公司 发 明 ,因此 而 得 名 。Kensington 锁 孔 需要 
配合 Kensington 线 缆 锁 来 实现 防护 功能 。 使 用 时 将 钢 缆 的 一 头 固定 在 桌子 或 其 他 固定 装 
置 上 , 另 一 头 将 锁 头 固定 在 机 箱 上 的 Kensington 锁 孔 内 ,就 实现 了 防护 功能 。 其 特点 是 固 
定 方式 灵活 ,对 于 一 些 开 在 机 箱 侧 板 上 的 Kensington 锁 孔 ,不 仅 可 以 锁定 机 箱 侧 板 ,而 且 钢 
缆 还 能 防止 机 箱 被 人 挪动 或 搬 走 。 

机 箱 电 磁 锁 主要 应 用 于 高 端 商用 PC 产品 上 ,实现 方式 是 将 电磁 锁 安 装 在 机 箱 内 , 嵌 人 
在 BIOS 中 的 子 系统 通过 密码 实现 电磁 锁 的 开关 管理 。 这 种 防护 方式 更 加 安全 和 美观 ,也 
是 一 种 人 性 化 的 安全 防护 方式 ,如 图 3. 2 所 示 。 





(a) 机 箱 锁 扣 (b) Kensington 锁 孔 (c) 机 箱 电磁 锁 
3.2 固定 盘 用 锁 


另外 还 有 一 种 使 用 光纤 电缆 保护 设备 的 方法 ,这 种 方法 是 将 光纤 电缆 连接 到 每 台 重 要 
的 设备 上 ,光束 沿 光纤 传输 ,如 果 通 道 受阻 则 报警 。 这 种 保护 装置 比较 简单 ,一 套装 置 可 以 
保护 机 房 内 所 有 的 重要 设备 ,并 且 设 备 还 可 以 随意 移动 ,搬运 。 

一 种 更 方便 的 方法 是 使 用 智能 网 络 传 感 设备 。 将 传 感 设备 安放 在 机 箱 边 缘 , 当 机 箱 盖 
被 打开 时 , 传 感 开关 自动 复位 ,此 时 传 感 开 关 通 过 控制 芯片 和 相关 程序 ,将 此 次 开 箱 事件 自 
动 记录 到 BIOS 中 或 通过 网 络 及 时 传 给 网 络 设备 管理 中 心 ,实现 集中 管理 。 智 能 网 络 传 感 
设备 是 一 种 创新 的 防护 方式 ,但 对 电源 和 网 络 的 依赖 性 大 。 如 果 在 关 掉 电源 和 切断 网 络 的 
情况 下 打开 机 箱 ,传感器 是 无 法 捕获 到 的 。 

另外 ,安装 视频 监视 系统 也 是 必 不 可 少 的 ,视频 监视 系统 是 一 种 更 为 可 靠 的 防护 设备 ， 
能 对 系统 运行 的 外 围 环 境 、 操 作 环境 实施 监控 。 对 重要 的 机 房 , 还 应 采取 特别 的 防盗 措施 ， 
如 值班 守卫 ,出 入 口 安装 金属 防护 装置 保护 安全 门 、 窗 户 。 

2. 防 电 磁 泄 漏 

计算 机 是 一 种 非常 复杂 的 机 电 一 体 化 设备 ,工作 在 高 速 脉冲 状态 的 计算 机 就 像 是 一 台 
很 好 的 小 型 无 线 电 发 射 机 和 接收 机 ,不 但 产生 电磁 辐射 泄漏 保密 信息 ,而 且 还 可 以 引入 电磁 
干扰 影响 系统 的 正常 工作 。 尤 其 是 在 微 电 子 技术 和 卫星 通信 技术 飞速 发 展 的 今天 ,计算 机 
电磁 辐射 泄密 的 危险 越 来 越 大 。 国 际 上 把 信息 辐射 泄漏 技术 简称 为 TEMPEST(Transient 
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ElectroMagnetic Pulse Emanations Standard Technology ,瞬时 电磁 脉冲 发 射 标准 技术 ) ,这 
种 技术 主要 研究 与 解决 计算 机 和 外 部 设备 工作 时 因 电 磁 辐 射 和 传导 产生 的 信息 外 漏 问题 ， 
具体 研究 内 容 包 括 电 子 设备 辐射 的 途径 与 方式 、 对 电子 信息 设备 辐射 泄漏 如 何 防护 、 如 何 从 
辐射 信息 中 提取 有 用 信息 信息 辐射 的 测试 技术 与 测试 标准 。 

计算 机 设备 的 防 泄漏 措施 主要 有 屏蔽 技术 、 使 用 干扰 器 、 滤 波 技 术 、 采 用 低 辐 射 设备 、 隔 
离 和 合理 布局 等 。 

1) 屏蔽 技术 

屏蔽 是 TEMPEST 技术 中 的 一 项 基础 措施 。 屏 项 最 典型 的 例子 就 是 电梯 ,电梯 提供 了 
一 个 屏蔽 的 环境 ,屏蔽 的 效果 是 在 电梯 中 手机 接收 不 到 信号 。 根 据 不 同 的 需要 ,屏蔽 方法 包 
括 整 体 屏 蔽 .设备 屏蔽 和 元 器 件 屏蔽 。 整 体 屏 项 的 方法 是 采用 金属 网 把 需要 保护 的 房间 屏 
蔽 起 来 ,为 了 保证 良好 的 屏蔽 效果 ,金属 网 接地 要 和 良好, 并且 要 经 过 严格 的 测试 验收 。 整 体 
屏蔽 技术 适用 于 需要 处 理 高 度 保密 信息 的 场合 ,如 军政 首脑 机 关 的 信息 中 心 和 驻 外 使 馆 等 
地 方 , 应 该 将 信息 中 心 的 机 房 整个 屏蔽 起 来 。 整 体 屏 蔽 的 费用 比较 高 ,出 于 对 成 本 的 控制 和 
保密 性 要 求 的 降低 ,也 可 以 将 设备 屏蔽 ,把 需要 屏蔽 的 计算 机 和 外 部 设备 放 在 体积 较 小 的 屏 
蔽 箱 内 ,该 屏蔽 箱 要 很 好 地 接地 ,对 于 从 屏蔽 箱 内 引出 的 导线 也 要 套 上 人 金属 屏蔽 网 。 对 于 电 
子 线路 中 的 局 部 元 器 件 如 CPU .内存 条 等 强 辐射 部 件 可 采用 屏蔽 盒 进行 屏蔽 。 

2) 使 用 干扰 器 

干扰 器 是 一 种 能 辐射 电磁 噪声 的 电子 仪器 , 它 通 过 增加 电磁 噪声 降低 辐射 泄露 信息 的 
总 体 信 品 比 ,从 而 增 大 辐射 信息 被 截获 后 破解 还 原 的 难度 ,达到 “掩盖 "真实 信息 的 目的 。 具 
体 的 方法 是 将 一 台 能 产生 噪声 的 干扰 器 放置 在 计算 机 设备 的 旁边 ,干扰 器 产生 的 噪声 与 计 
算 机 设备 产生 的 信息 辐射 一 起 向 外 泄露 。 

干扰 技术 可 分 为 白 噪声 干扰 技术 和 相关 干扰 技术 两 种 。 白 噪声 干扰 技术 的 原理 是 使 用 














白 品 声 干 扰 器 发 出 强 于 计算 机 电磁 辐射 信号 的 白 噪声 ,起 到 阻碍 和 干扰 接收 的 作用 。 这 种 
成 控件 的 电磁 污染 ,而 白 品 声 干 扰 也 容易 被 接收 方 使 用 较为 简单 的 方法 进行 滤 除 或 抑制 解 
调 接 收 。 相 关 干 扰 技 术 的 原理 是 使 用 相关 干扰 器 发 出 
能 自动 跟踪 计算 机 电磁 辐射 信号 的 相关 干扰 信号 ,使 
电磁 辐射 信号 被 扰乱 ,起 到 乱 数 加 密 的 效果 ,使 接收 方 
真实 信息 ,如 图 3. 3 所 示 。 相 对 于 白 噪 声 干扰 技术 , 相 
关 干 扰 技 术 对 环境 的 电磁 污染 较 小 , 且 使 用 简单 .效果 
显著 ,比较 适合 于 单独 工作 的 个 人 计算 机 上 。 图 3.3 相关 干扰 器 

3) 滤波 技术 
在 信号 传输 线 、 公 共 接 地 线 及 电源 线 上 加 装 滤波 器 。 

4) 采用 低 辐射 设备 

低 辐 射 设备 是 指 在 设计 和 生产 计算 机 设备 时 ,就 对 可 能 产生 电磁 辐射 的 元 器 件 、 集 成 电 
路 .连接 线 、 显 示 器 等 采取 了 防 辐 射 措施 ,把 电磁 辆 射 抑 制 到 最 低 限 度 。 由 于 制造 低 辆 射 设 


方法 有 一 定 的 作用 ,但 由 于 要 靠 掩盖 的 方式 进行 干扰 ,发 射 的 功率 又 必须 足够 强 , 所 以 会 造 
即使 接收 到 电磁 辐射 信号 也 无 法 调节 出 信号 所 携带 的 

滤波 能 非常 有 效 地 减少 和 抑制 电磁 泄露 ,是 抑制 传导 泄露 的 主要 方法 之 一 ,主要 方法 是 
备 所 使 用 的 材料 成 本 较 高 , 它 的 造价 也 比较 昂贵 。 使 用 低 辆 射 计算 机 设备 是 防止 计算 机 电 
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磁 辐 射 泄密 的 较为 根本 的 防护 措施 。 

5) 隔离 和 合理 布局 

隔离 是 将 信息 系统 中 需要 重点 防护 的 设备 从 系统 中 分 离 出 来 ,加 以 特别 防护 ,并 切断 其 
与 系统 中 其 他 设备 间 的 电磁 泄漏 通路 。 合 理 布局 是 指 合理 放置 信息 系统 中 的 关键 设备 ,并 
尽量 拉 大 涉 密 设备 与 非 安 全 区 域 的 距离 。 让 计算 机 房 远 离 可 能 被 侦 测 的 地 点 ,这 是 因为 计 
算 机 辐射 的 距离 有 一 定 限制 ,超过 300m, 即 使 攻击 者 接收 到 辐射 信号 也 很 难 还 原 。 对 于 一 
个 单位 而 言 ,计算 机 房 尽量 建 在 单位 辖区 的 中 央 地 区 而 不 是 边缘 地 区 。 若 一 个 单位 辖区 的 
半径 小 于 300m, 距 离 防护 的 效果 就 有 限 。 

对 计算 机 与 外 部 设备 究竟 要 采取 哪些 防 泄漏 措施 ,要 根据 计算 机 中 的 信息 的 重要 程度 
而 定 。 对 于 企业 而 言 ,需要 考虑 这 些 信 息 的 经 济 效益 ,在 选择 保密 措施 时 ,不 应 该 花费 100 
万 元 去 保护 价值 10 万 元 的 信息 ,对 于 军队 则 需要 考虑 这 些 信 息 的 保密 级 别 。 

3. 防 电磁 干扰 

防止 计算 机 受到 电磁 干扰 的 主要 手段 有 接地 .屏蔽 ` 滤 波 。 

1) 接地 

良好 的 接地 系统 ,一 是 可 以 消除 各 电路 之 间 流 经 公共 阻抗 时 所 产生 的 公共 抗 阻 干扰 和 
雷击 ,避免 计算 机 电路 受 磁 场 和 电位 差 的 影响 ,二 是 可 保证 设备 及 人 身 安全 。 理 想 的 接地 面 
为 零 电位 ,各 接地 点 之 间 无 电位 差 。 在 接地 设计 时 ,应 注意 交流 地 、 直 流 低 、 防 雷 地 和 安全 地 
的 接地 线 要 分 开 , 不 要 互 连 ,复杂 电路 要 采用 多 点 接地 和 公共 地 等 。 

2) 屏蔽 

电磁 屏蔽 是 对 两 个 空间 区 域 之 间 进 行 金 属 的 隔离 ,以 控制 电场 、 磁 场 和 电磁 波 由 一 个 区 
域 到 另 一 个 区 域 的 感应 和 辐射 。 具 体 讲 ,就 是 用 屏蔽 体 将 元 部 件 . 电 路 .电缆 或 整个 系统 的 
干扰 源 包围 起 来 ,防止 干扰 电磁 场 向 外 扩散 ; 用 屏蔽 体 将 接收 电路 .设备 或 系统 包围 起 来 ， 
防止 它们 受到 外 界 电磁 场 的 影响 。 在 计算 机 工程 中 ,凡是 收 到 电磁 场 干扰 的 地 方 都 可 以 用 
屏蔽 的 方法 来 削弱 干扰 ,以 确保 计算 机 正常 运行 。 

屏蔽 材料 通常 采用 高 导电 性 的 材料 ,如 铜板 、 铜 箔 、 铝 板 、 铝 箔 、 钢 板 或 金属 镀层 、 导 电 涂 
层 。 由 于 电磁 干扰 无 孔 不 入 ,因此 屏蔽 体 上 应 尽量 少 留 开口 ,还 可 以 根据 需要 采取 不 同 的 金 
属 材料 组 成 的 多 层 屏蔽 体 。 

3) 滤波 

滤波 是 抑制 和 防止 干扰 的 一 项 重要 措施 。 在 一 定 的 频带 内 ,滤波 器 衰减 很 小 ,电能 很 容 
易 通 过 ,而 在 此 频带 外 衰减 则 很 大 ,能 有 效 抑制 传输 。 应 在 计算 机 的 线路 板 上 采取 适当 的 滤 
波 措施 ,防止 外 部 的 电磁 干扰 ,同时 又 能 使 脉冲 信号 的 高 频 成 分 大 大 减少 ,从 而 使 线路 板 的 
辐射 得 到 改善 。 








3.4 媒体 (介质 ) 安 全 


3.4.1 媒体 安全 面临 的 威胁 


常见 的 信息 存储 媒体 有 磁盘 、 光 盘 、U 盘 、 移 动 硬盘 .打印 纸 等 ,这 些 媒体 上 存储 了 大 量 
有 用 信息 甚至 机 密 信息 ,是 各 类 黑客 或 攻击 者 进行 盗窃. 破坏 和 算 改 的 目标 。 光 盘 、U 盘 、 
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移动 硬盘 、 打 印 纸 等 体积 小 、 易 携带 ,成 为 最 容易 造成 信息 泄露 的 设备 ,下 面 主要 讨论 硬盘 面 
临 的 安全 威胁 和 安全 防护 措施 。 
硬盘 面临 的 安全 威胁 有 : (1) 目 前 PC 的 硬盘 是 很 容易 安装 和 拆 种 的 ,导致 硬盘 容易 被 
盗 。(2) 硬 盘 上 的 文件 几乎 没有 任何 保密 措施 ,如 果 硬 盘 被 盗 了 ,那么 硬盘 上 的 文件 、 信 息 、 
办 公 秘 密 、 商 业 机 密 也 就 暴露 无 疑 。 目 前 我 们 比较 常用 的 办 公 软 件 Word 可 以 通过 设置 保 
护 密码 和 限制 访问 进行 文件 保护 ,但 为 了 办 公 方 便 ,使 用 得 极 少 ,而 且 在 强大 的 破译 软件 面 
前 ,这 种 密码 保护 根本 不 堪 一 击 。(3) 文 件 删除 操作 留 下 的 隐患 。 文 件 的 删除 操作 是 人 们 经 
常 执行 的 操作 ,系统 在 执行 删除 操作 时 ,数据 是 否 在 磁盘 上 不 存在 了 呢 ? 实际 上 ,文件 删除 
操作 仅仅 在 文件 目录 中 作 了 一 个 标记 ,并 没有 删除 文件 本 身 数 据 存储 区 ,数据 仍然 残留 在 磁 
盘 上 ,直到 新 的 数据 覆盖 ,如 图 3.4 所 示 。 这 段 时 间 内 信息 泄露 的 可 能 性 比较 大 。(4) 硬 盘 
本 身 的 脆弱 性 。 磁 盘 本 身 很 容易 被 划 坏 ,或 被 各 种 硬 物 碰 伤 或 受潮 霉 变 , 硬 盘 上 的 数据 也 随 
之 而 变 得 无 法 读 取 。 
出 除 前 
0003E680 | 48 45 40 
0003E690 |3A 35 3A 
Ns 0 
on0ses0 本 入 各 全 站 20 20 54 58 54 20 00 BD 73 50 | LO TXT 到 ~ 


0003E690 35 3A 35 00 00 7C SC 3A 35 04 00 08 00 00 00| :5:5..|\:5...... 


图 3.4 文件 删除 前 后 磁盘 存储 区 的 变化 


媒体 面临 的 安全 威胁 还 来 自 于 管理 方面 的 缺陷 ,在 媒体 的 使 用 和 管理 上 存在 如 下 4 个 
方面 的 缺陷 : 

(1) 缺乏 对 媒体 的 管理 和 维护 能 力 , 一 旦 存储 有 重要 、 敏 感 信息 的 媒体 发 生 故障 ,只 能 
销毁 或 冒 着 泄密 的 重大 危险 到 固定 维修 点 甚至 去 国外 维修 。 

(2) 对 存储 有 敏感 信息 的 媒体 没有 专门 的 存放 场所 ,而 是 和 一 般 办 公文 件 一 起 存放 , 造 
成 一 旦 办 公 场 所 发 生火 灾 等 突 发 危险 ,媒体 随 之 而 遭 瑞 。 

(3) 缺乏 对 媒体 的 分 类 和 拷贝 限制 。 没 有 根据 媒体 的 重要 程度 进行 分 类 存放 , 且 对 媒 
体 中 信息 的 拷贝 流程 没有 严 加 管理 ,信息 拷贝 几乎 人 手 一 份 , 所 以 媒体 中 的 信息 也 毫 无 秘密 
可 言 。 

(4) 缺乏 媒体 的 管理 办 法 。 没 有 形成 对 媒体 的 分 类 存放 和 拷贝 管理 方法 ,以 及 相应 的 
拷贝 登记 制度 、 媒 体 处 理 和 销毁 制度 。 


3.4.2 媒体 安全 防护 


媒体 的 安全 防护 应 从 加 强 磁盘 安全 保密 控制 和 加 强 媒 体 安全 管理 两 方面 人 手 。 

1. 加 强 磁盘 安全 保密 控制 

可 以 通过 磁盘 加 密 技术 和 磁盘 信息 清除 技术 加 强 对 磁盘 及 其 存储 信息 的 安全 保护 。 

磁盘 加 密 技 术 是 指使 用 加 密 工 具 对 存储 在 磁盘 上 的 信息 进行 加 密 , 即 使 存储 信息 被 第 
三 方 窃 取 或 复制 ,也 很 难 读 懂 , 从 而 保证 信息 不 被 泄露 。 具 体 的 磁盘 信息 加 密 技术 还 可 细 分 
为 文件 加 密 、 目 录 加 密 、 数 据 库 加 密 和 整 盘 数 据 加 密 。 具 体 应 用 可 视 磁盘 信息 的 保密 强度 要 
求 而 定 。 
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磁盘 清除 技术 可 以 分 为 直流 消 磁 法 和 交流 消 磁 法 两 种 。 直 流 消 磁 法 是 使 用 直流 磁头 将 
磁盘 上 原先 记录 信息 的 剩余 磁 通 全 部 以 一 种 形式 的 恒定 值 来 代替 。 通 常 ,完全 格式 化 方式 
格式 化 磁盘 就 是 这 种 方法 。 交 流 消 磁 法 是 使 用 交流 磁头 将 磁盘 上 原先 所 记录 信息 的 剩余 磁 
通 变 得 极 小 ,这 种 方法 的 消 磁 效果 比 直流 消 磁 法 的 效果 要 好 , 消 磁 后 磁盘 上 的 残留 信息 强度 
可 比 消 磁 前 下 降 90dB。 

2. 加 强 媒体 安全 管理 


(1) 设置 管理 人 员 对 媒体 进行 专门 管理 。 一 方面 所 有 对 存储 媒体 的 访问 应 当 由 管理 员 
统一 进行 管理 , 另 一 方面 管理 员 要 负责 所 有 媒体 的 接收 和 发 出 ,并 做 好 相应 的 核准 和 记录 
工作 。 

(2) 做 好 媒体 的 归档 工作 。 任 何 媒体 都 要 有 完整 的 归档 记录 ,归档 文件 要 清楚 .齐全 ， 
一 旦 投入 使 用 ,任何 人 未 经 批准 不 得 增 、 删 . 改 。 

(3) 加 强 敏 感 媒体 的 管理 。 所 有 媒体 应 采用 物理 方法 标识 出 密级 ; 造 册 登 记 , 编 制 目 
录 , 集 中 管理 ; 复制 .传递 .使 用 ,发 放 都 要 有 审批 签字 手续 ,归还 时 要 严格 复核 手续 等 ; 凡 
属 规定 密级 的 各 种 记录 媒体 ,禁止 使 用 中 途 转借 给 他 人 ; 保密 的 存储 介质 或 文件 在 不 使 用 
时 应 存放 在 安全 的 地 点 并 锁 在 安全 器 内 ; 销毁 必须 登记 ,并 由 承办 人 填写 销毁 记录 。 

(4) 当 存 储 媒体 不 使 用 时 ,在 转交 给 他 人 使 用 之 前 ,不 能 只 作 简单 的 删除 操作 ,而 必须 
把 存储 在 上 面 的 保密 数据 彻底 格式 化 。 

(5) 如 果 要 对 关键 敏感 性 的 媒体 进行 销毁 ,可 以 采取 物理 粉碎 、 强 磁场 消 磁 和 高 温 焚 烧 
等 方法 进行 销毁 ,同时 也 要 注意 销毁 的 登记 。 


3.5 系统 安全 和 可 靠 性 技术 


1. 系统 安全 和 可 靠 性 的 定义 

系统 安全 是 指 为 保证 信息 系统 安全 可 靠 运 行 而 采取 的 安全 措施 ,可 用 性 和 可 靠 性 是 衡 
量 系统 安全 的 主要 指标 。 

可 用 性 是 指 系 统 在 规定 条 件 下 ,完成 规定 功能 的 能 力 。 系 统 可 用 性 用 可 用 度 来 衡量 。 
系统 在 t 时 刻 处 于 正确 状态 的 概率 称 为 可 用 度 , 用 A(z) 来 表示 。 

A(b) = 平均 无 故障 时 间 /( 平 均 无 故障 时 间 十 平均 修复 时 间 ) 

平均 无 故障 时 间 (Meantime Between Failures, MTBF) 是 指 两 次 故障 之 间 能 正常 工作 
的 平均 时 间 。 故 障 是 指 由 于 部 件 的 物理 失效 、 环 境 应 力 的 作用 、 操 作 错 误 或 不 正确 的 设计 ， 
引起 系统 的 硬件 或 软件 的 错误 状态 。 故 障 既 可 能 是 元 件 故障 、 软 件 故 障 , 也 可 能 是 人 为 攻击 
造成 的 系统 故障 。 

平均 修复 时 间 (Meantime Repair a Failure. MTRF) 是 指 从 故障 发 生 到 系统 恢复 所 需要 
的 平均 时 间 。 

可 用 性 还 表现 在 以 下 三 个 方面 : 

1) 可 靠 性 

如 果 系 统 从 来 没有 故障 ,那么 可 用 性 就 是 100% ,但 这 基本 上 是 不 可 能 的 ,所 以 引进 一 
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个 辅助 参数 一 一 可 靠 性 (Reliability) , 即 在 一 定 的 条 件 下 ,在 指定 的 时 期 内 系统 无 故障 地 执 
行 指定 任务 的 可 能 性 。 系 统 可 靠 性 采用 可 靠 度 来 衡量 。 可 靠 度 是 指 在 t。 时 刻 系统 正常 运 
行 的 条 件 下 ,在 给 定 的 时 间 间 隔 内 ,系统 仍然 能 执行 其 功能 的 概率 。 

2) 可 维修 性 

可 维修 性 是 指 系统 发 生 故 障 时 容易 进行 修复 以 及 平时 易于 维护 的 程度 。 可 维修 性 可 表 
现 为 平均 修复 时 间 (MTRF) ,在 指定 时 间 内 恢复 服务 的 可 能 性 。 

3) 维修 保障 

维修 保障 即 系统 发 生 故 障 时 ,后 勤 支援 的 能 力 。 

因 计 算 机 系统 硬 、 软 件 故障 降低 信息 系统 的 可 靠 性 ,提高 信息 系统 可 靠 性 一 般 采 取 避 错 
和 容错 技术 ,为 抵御 灾难 造成 的 信息 系统 不 可 用 ,可 采用 容 灾 备 份 技术 实现 对 灾难 的 容忍 。 

2. 提高 信息 系统 可 靠 性 的 措施 


提高 信息 系统 的 可 靠 性 一 般 采 取 避 错 、 容 错 和 容 灾 备 份 技术 。 

1) 避 错 

避 错 即 通过 提高 信息 系统 软 硬 件 的 质量 以 抵御 故障 的 发 生 ,要求 组 成 系统 的 各 个 部 件 、 
器 件 、 软 件 具有 高 可 靠 性 ,不 允许 出 错 或 出 错 率 极 低 。 通 过 精 选 元 器 件 .严格 的 工艺 .精心 的 
设计 来 提高 可 靠 性 。 在 现 有 条 件 下 避 错 设计 是 提高 系统 可 靠 性 的 有 效 办 法 。 受 人 们 认 知 的 
局 限 性 和 技术 水 平 的 限制 , 避 错 不 能 完全 消除 错误 的 发 生 。 

2) 容错 

一 个 系统 无 论 采用 多 少 避 错 方法 ,对 于 可 靠 性 的 提高 都 是 有 限 的 ,因为 不 可 能 保证 永远 
不 出 错 。 因 此 ,还 要 发 挥 容错 技术 ,使 得 在 故障 发 生 时 ,系统 仍 能 继续 运行 ,提供 服务 与 资 
源 。 容 错 设计 是 在 承认 故障 的 情况 下 进行 的 ,是 指 在 计算 机 内 部 出 现 故 障 的 情况 下 ,计算 机 
仍 能 正确 地 运行 程序 并 给 出 正确 结果 的 设计 。 

3) 容 灾 备份 

容 灾 备份 是 信息 系统 安全 的 基础 设施 ,对 重要 信息 系统 建立 容 灾 备份 系统 ,可 以 防范 和 
抵御 灾难 发 生 给 信息 系统 造成 的 毁灭 性 打击 。 


3.6 容错 技术 


容错 是 一 种 可 靠 性 保障 技术 ,利用 宛 余 的 资源 使 计算 机 具有 容忍 故障 的 能 力 , 即 在 发 生 
故障 的 情况 下 ,计算 机 仍 有 能 力 完成 指定 的 任务 或 继续 向 外 提供 正确 的 服务 。 

人 们 对 容错 技术 的 研究 开始 得 很 早 ,1952 年 , 汉 。 诺 依 曼 就 在 美国 加 利 福 尼 亚 理工 学 
院 做 过 5 个 关于 容错 理论 研究 的 报告 ,他 的 精辟 论述 成 为 以 后 容错 研究 的 基础 。 容 错 技术 
最 早 在 硬件 上 研究 和 实现 ,在 1950 年 至 1970 年 得 到 了 重大 的 发 展 ,并 成 为 一 种 成 熟 的 技术 
应 用 于 实际 系统 中 ,如 双 CPU、 双 电源 。 到 20 世纪 60 年 代 末 ,出 现 了 以 自 检 、 自 修 计 算 机 
STAR 为 代表 的 容错 计算 机 。20 世纪 70 年 代 容错 技术 的 应 用 和 研究 范围 迅速 扩大 至 交通 
管制 .工厂 自动 化 .电话 开关 等 领域 ,并 且 出 现 了 用 软件 实现 容错 的 SIFT 计算 机 。20 世纪 
80 年 代 , 容 错 技术 的 研究 随 着 计算 机 的 普及 深入 到 各 个 行业 ,许多 公司 生产 的 容错 计算 机 
如 Stratus 容错 计算 机 系列 ,IBM System88 等 已 商品 化 并 推 和 市场。 
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容错 技术 主要 是 通过 宛 余 设计 来 实现 的 ,所 谓 宛 余 就 是 超过 系统 实现 正常 功能 的 额外 
资源 。 它 以 增加 资源 的 办 法 来 换取 可 靠 性 。 根 据 增加 资源 的 不 同 , 容 错 技术 可 以 分 为 硬件 
容错 、 软 件 容错 、 数 据 容错 和 时 间 容 错 。 

1. 硬件 容错 

硬件 容错 用 以 避免 由 于 硬件 造成 的 系统 失效 ,通过 硬件 的 物理 备份 来 获得 容错 能 力 ,如 
元 余 处 理 器 ,元 余 内 存 、 元 余 电 源 等 。 广 泛 应 用 的 硬件 元 余 之 一 是 硬件 堆积 元 余 ,在 物理 级 
通过 原件 的 重复 获得 。 硬 件 容错 还 可 以 通过 待命 储备 宛 余 实 现 ,系统 中 设置 m 十 1 个 模块 ， 
只 有 一 个 处 于 工作 状态 ,其 余 m 块 都 处 于 待命 接替 状态 ,一 旦 工作 模块 出 了 故障 ,立刻 切换 
到 一 个 待命 储备 模块 , 当 换 上 的 储备 模块 发 生 故 障 时 ,又 切换 到 另 一 储备 模块 ,直至 资源 枯 
竭 。 目 前 ,硬件 容错 广泛 应 用 于 信息 关键 系统 中 ,例如 民航 飞机 中 总 有 几 套 计算 机 系统 同时 
运行 ,磁盘 元 余 阵列 是 硬件 容错 的 典型 。 

2. 软件 容错 


软件 容错 用 于 避免 由 于 软件 引起 的 系统 失效 。 软 件 容错 的 基本 思想 是 用 多 个 不 同 的 软 
件 执行 同一 功能 ,利用 软件 设计 差异 来 实现 容错 。 通 过 提供 足够 的 元 余 信息 与 算法 程序 ,使 
系统 在 实际 运行 中 能 够 及 时 发 现 程序 错误 ,采取 补救 措施 ,保证 整个 计算 的 正确 运行 。 执 行 
同一 任务 采用 的 不 同 软件 程序 组 成 一 个 有 机 整体 ,完成 错误 检测 ,程序 系统 重组 及 系统 恢复 
等 多 项 功能 ,达到 利用 设计 差异 实现 容错 的 目的 。 

3. 数据 容错 


数据 容错 是 指 增 加 额外 的 数据 位 以 检测 或 纠正 数据 在 运算 、 存 储 及 传输 中 的 错误 。 编 
码 技术 是 一 种 数据 容错 技术 , 它 通过 在 数据 中 附加 完 余 的 信息 以 达到 故障 检测 和 故障 掩蔽 
或 容错 的 目的 ,包括 检 错 编码 与 纠 错 编码 技术 。 检 错 编码 可 以 自动 发 现 错误 ,而 纠 错 编码 具 
有 自动 发 现 错误 和 纠正 错误 的 能 力 。 编 码 技术 常 用 在 信息 的 存储 、 传 输 和 处 理 中。 在 计算 
机 系统 中 ,常用 的 编码 技术 有 奇偶 校 验 码 循环 元 余 校 验 码 和 扩展 海 明 码 等 。 

4. 时 间 容 错 

时 间 容 错 是 通过 消耗 时 间 资 源 来 实现 容错 ,其 基本 思想 是 重复 执行 指令 或 程序 来 消除 
故障 带 来 的 影响 。 按 照 重 复 运算 在 指令 级 还 是 程序 级 可 以 分 为 指令 复 执 和 程序 卷 回 。 指 令 
复 执 就 是 当 机 器 检测 到 错误 后 ,让 当前 指令 重复 执行 若干 次 ,如 果 错 误 是 瞬时 的 ,在 指令 复 
执 期 间 , 有 可 能 不 再 出 现 ,程序 就 可 继续 向 前 运行 ,如 果 在 指令 复 执 期 间 不 能 纠正 错误 , 则 需 
要 通过 人 工 干 预 或 调用 诊断 程序 来 消除 错误 。 程 序 卷 回 是 重复 执行 一 小 段 程序 ,常用 回 滚 
技术 实现 。 例 如 将 机 器 运行 的 某 一 时 刻 作为 检查 点 ,此 时 检查 系统 运行 的 状态 是 否 正确 ,无 
论 正确 与 否 ,都 将 这 一 状态 存储 起 来 ,一 旦 出 现 运行 故障 ,就 返回 到 最 近 一 次 正确 的 检查 点 
重新 运行 。 

这 4 种 容错 技术 中 最 重要 ,也 是 应 用 最 多 的 是 硬件 容错 和 软件 容错 ,也 是 本 节 学 习 的 


出 
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3.6.1 硬件 容错 


硬件 容错 是 通过 硬件 元 余 实 现 的 ,硬件 元 余 通 过 在 一 个 硬件 部 件 中 提供 两 个 或 多 个 物 
理 实体 实现 元 余 ,是 在 给 定 器 件 可 靠 性 的 前 提 下 提高 系统 组 成 部 件 可 靠 性 的 有 效 方法 。 硬 
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件 元 余 有 三 种 基本 形式 。 

(1) 被 动 元 余 : 在 无 须 其 他 操作 的 情况 下 ,通过 屏蔽 故障 实现 容错 。 三 模 宛 余 CTriple 
Modular Redundancy,TMR) 是 被 动 元 余 的 典型 代表 。TMR 首先 利用 三 份 硬件 同时 进行 
相同 的 功能 的 计算 ,再 通过 投票 器 从 三 份 计算 结果 中 选择 正确 的 计算 结果 。 如 果 三 份 硬件 
中 有 一 个 发 生 故 障 ,产生 错误 计算 结果 , 则 投票 器 将 剩余 两 个 硬件 产生 的 相同 计算 结果 作为 
最 终 计 算 结 果 。 根 据 应 用 的 不 同 ,三 模 宛 余 的 硬件 可 以 是 处 理 器 ,存储 器 .电源 等 。 值 得 注 
意 的 是 ,由 于 投票 器 使 用 少数 服从 多 数 的 算法 ,因此 TMR 仅 能 够 屏蔽 一 个 故障 部 件 ,为 了 
屏蔽 更 多 的 故障 部 件 , 则 需要 使 用 5MR、7MR 等 更 高 模 的 元 余 。 

(2) 主动 元 余 : 在 容错 之 前 首先 进行 故障 检测 ,在 故障 检测 后 再 进行 故障 定位 和 故障 
恢复 工作 ,从 而 移 除 系统 中 的 故障 部 件 。 备 用 备件 (Standby Sparing) 是 一 种 主动 元 余 方 
法 ,在 一 个 模 元 余 的 备用 备件 方法 中 .n 个 模块 中 只 有 一 个 是 活跃 的 ,而 其 他 一 1 个 模块 
都 作为 备份 使 用 。 每 个 模块 都 有 一 个 故障 检测 器 ,并 将 所 有 模块 连接 在 一 个 选择 器 上 。 当 
活跃 模块 的 故障 检测 器 发 现 故障 后 ,选择 器 将 从 备份 模块 中 选择 一 个 模块 作为 新 的 活跃 
模块 。 

(3) 混合 宛 余 : 结合 了 被 动 元 余 和 主动 元 余 的 方法 ,利用 主动 元 余 防 止 大 量 错误 的 产 
生 , 利 用 被 动容 错 实现 故障 部 件 的 更 换 。 例 如 我 们 可 以 在 使 用 TMR 的 基础 上 ,将 投票 器 选 
择 的 正确 结果 反馈 给 所 有 元 余 模 块 , 各 个 模块 通过 将 自己 的 计算 结果 与 反馈 结果 进行 比较 ， 
从 而 判断 该 模块 是 否 为 故障 模块 ,并 决定 是 否 将 自己 移 除 。 


3.6.2 软件 容错 


随 着 软件 功能 和 性 能 的 飞速 提升 ,软件 变 得 越 来 越 复杂 ,软件 由 于 设计 缺陷 或 误 操作 而 
引发 系统 错误 的 概率 也 不 断 提高 。 统 计数 据 表明 ,当前 计算 机 系统 中 60% 一 90% 的 故障 是 
由 软件 故障 引起 的 。 由 于 软件 不 像 硬件 那样 存在 制造 缺陷 ,也 不 会 产生 磨损 ,所 以 软件 故障 
大 多 是 由 设计 故障 引起 的 。 

软件 容错 用 于 提高 软件 系统 的 可 靠 性 ,通过 提供 足够 的 元 余 信息 和 算法 程序 ,使 系统 在 
实际 运行 时 能 够 及 时 发 现 程序 设计 错误 ,采取 补救 措施 ,以 提高 软件 可 靠 性 。 软 件 容错 使 软 
件 在 出 错时 仍 能 向 外 提供 正常 或 降级 服务 ,避免 出 现 重 大 人 身 或 财产 损失 。 软 件 容错 技术 
的 方法 主要 有 N 版 本 程序 设计 和 恢复 块 方法 。 

1. 恢复 块 方法 


1975 年 ,B. Randell 提供 了 一 种 动态 故障 屏蔽 技术 一 一 恢复 块 方法 ,如 图 3.5 所 示 , 这 
也 是 最 早 的 一 种 软件 容错 技术 。 人 恢复 块 通常 与 判决 器 一 起 使 
用 。 在 使 用 恢复 块 的 系统 中 ,系统 被 划分 成 一 个 个 故障 恢复 


个 这 些 个 个 1 
块 ,整个 系统 由 这 些 故障 恢复 块 组 成 。 每 个 块 包含 一 个 主 块 [RAR fam 记 


和 一 些 用 来 替换 的 后 备 模块 。 主 块 在 第 一 时 间 运 行 .其 输出 

要 通过 判决 器 来 检查 可 接受 性 。 这 是 整个 设计 中 的 瓶颈 , 因 

为 判决 器 不 知道 正确 的 输出 该 是 什么 。 判 决 器 执行 检查 , 检 ” 一 通过 

查 输出 是 否 在 某 个 可 接受 的 范围 内 ,或 输出 有 没有 超出 允许 1 
的 最 大 变化 率 。 例 如 ,如 果 任 务 是 计算 一 稻 船 的 位 置 ,如 果 前 “| _ 箱 册 
后 几 微 秒 之 间 的 距离 差 有 1000 海里 ,这 样 的 结果 显然 是 不 正 图 3.5 恢复 块 方法 








主 块 
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确 的 。 

主 块 得 到 输出 后 ,立即 进行 接受 测试 , 当 接受 测试 判断 输出 不 可 接受 时 ,系统 将 回 滚 并 
恢复 到 主 块 运行 之 前 的 状态 ,然后 调用 第 二 个 模块 ,运行 获得 结果 并 进行 接受 测试 。 如 果 调 
用 也 失败 的 话 , 则 继续 调用 另外 的 替换 模块 ,系统 重复 这 样 的 操作 ,直到 用 完 所 有 模块 ,或 超 
出 规定 的 时 间 限 制 。 

使 用 恢复 块 方法 会 引起 时 间 开 销 , 当 首要 执行 模块 失败 时 就 发 生 了 时 间 开 销 , 包 括 保存 
全 局 状态 和 启动 一 个 或 多 个 替换 的 模块 。 这 使 得 恢复 块 系统 很 复杂 ,因为 在 重 试 下 一 个 之 
前 ,需要 系统 状态 具有 回 滚 的 能 力 。 当 然 也 可 以 通过 其 他 方法 完成 回 滚 ,例如 使 用 硬件 支持 
该 操作 。 

设置 接受 测试 时 ,设计 人 员 常 常 面临 一 些 难题 ,如 果 人 允许 的 范围 太 严格 ,那么 接受 测试 
将 产生 大 量 的 错误 警报 。 如 果 设 置 太 宽松 的 话 , 把 错误 的 输出 当 作 正确 结果 接受 的 可 能 性 
会 大 大 增 大 。 因 此 设置 接受 测试 时 必须 从 实际 出 发 ,根据 需求 进行 相应 的 设置 工作 。 

2. N 版 本 技术 (NVP) 


N 版 本 技术 是 一 种 静态 的 故障 屏蔽 技术 ,其 设计 思想 是 N 个 独立 生成 的 功能 相同 的 程 
序 同时 执行 ,使 用 表决 器 比较 各 个 版 本 产生 的 结果 ,并 将 其 中 一 个 作为 正确 的 结果 给 出 。 这 
种 容错 方法 依赖 于 不 同 版 本 程序 之 间 的 独立 性 。 该 技术 已 经 运用 到 很 多 实际 系统 中 ,例如 
铁路 交通 控制 系统 、 飞 行 控制 系统 。 

在 N 版 本 软件 系统 中 ,有 N 个 不 同 的 模块 同时 独立 地 执行 。 每 个 模块 以 不 同 的 方式 
完成 相同 的 任务 ,各 自 向 表决 器 提交 它们 的 结果 , 巾 表决 器 确定 正确 的 结果 ,并 作为 模块 的 
结果 返回 。 利 用 设计 多 样 性 得 到 的 N 版 本 软件 系统 能 克服 大 多 数 软件 中 出 现 的 设计 故障 。 
N 版 本 软件 的 一 个 重要 特性 就 是 系统 包含 多 个 版 本 软件 和 多 种 类 型 的 硬件 ,目的 是 通过 增 
加 差异 以 避 开 共有 的 故障 。 开 发 N 版 本 软件 过 程 中 ,对 于 每 个 不 同 版 本 , 尽 可 能 以 不 同 的 
方式 实现 ,包括 不 同 的 工具 (例如 静态 和 动态 的 分 析 器 ,辅助 调试 的 专家 系统 等 工具 ) ,不 同 
的 编程 语言 以 及 不 同 的 环境 。 每 个 开发 小 组 在 编程 期 间 也 要 尽 可 能 地 减少 交流 。 只 有 满足 
设计 的 多 样 性 ,N 版 本 软件 才能 真正 做 到 容错 。 

恢复 块 和 N 版 本 软件 之 间 的 不 同 之 处 并 不 多 .但 却 非常 突出 。 传 统 的 恢复 块 方法 中 ， 
用 来 替换 的 块 逐个 执行 ,直到 判决 器 找到 可 接受 的 结果 ,N 版 本 软件 方法 通常 在 N 份 元 余 
的 硬件 上 同时 执行 这 些 不 同 版 本 的 软件 。 在 逐个 重 试 的 过 程 中 ,尝试 多 个 替换 版 本 的 时 间 
开销 可 能 很 大 ,这 种 方法 尤其 不 适用 于 实时 系统 ,相反 的 ,同时 运行 的 N 版 本 软件 系统 需要 
NN 份 元 余 硬 件 和 通信 网 络 连接 它们 。 这 两 种 方法 的 另 一 个 重要 不 同 在 于 判决 器 和 表决 器 。 
恢复 块 方法 需要 为 每 个 模块 建立 一 个 特定 的 判决 器 ,而 N 版 本 软件 方法 中 ,只 需要 使 用 一 
个 简单 的 表决 器 即 可 。 在 实际 开发 中 ,设计 人 员 要 全 
面 衡量 它们 的 优 缺 点 ,并 结合 应 用 的 实际 需求 ,进行 
折 中 考虑 ,尤其 是 性 能 和 资金 的 开销 方面 ,从 而 确定 “给 入 ~| 程 弃 =| 表决 器 | 一 








一 一 | 程序 1 



































哪 种 方案 更 适合 工程 。 : 
为 了 体现 对 设计 的 元 余 ,NVP 系统 的 N 份 程序 一 | 和 记 rn 
必须 采取 不 同 的 方法 或 由 不 同 的 人 独立 设计 。NVP ee 


系统 的 结构 如 图 3.6 所 示 。 
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3.7 信息 系统 灾难 恢复 技术 


随 着 信息 化 的 发 展 , 越 来 越 多 关键 数据 和 业务 集中 到 信息 系统 中 ,社会 对 信息 系统 的 依 
赖 性 越 来 越 强 ,而 信息 系统 易 受 到 地 震 、 火 灾 、 人 为 误 操作 ,硬件 故障 等 诸多 侵扰 ,一 方面 数 
据 丢 失 和 损坏 将 造成 难以 估量 的 损失 , 男 一 方面 即使 短 时 间 的 系统 停机 也 将 造成 业务 停顿 
和 经 济 损失 ,因此 灾难 备份 和 恢复 成 为 迫切 需要 解决 的 问题 ,重要 信息 系统 必须 建立 容 灾 备 
份 系统 ,以 防范 和 抵御 灾难 带 来 的 打击 。 美 国 国防 部 提出 的 信息 保障 模型 PDRR 中 就 包含 
了 恢复 环节 ,灾难 恢复 是 信息 系统 安全 的 重要 组 成 部 分 。 


3.7.1 概述 


传统 的 数据 备份 技术 和 服务 器 集群 技术 足以 避免 由 于 各 种 软 硬 件 故 障 、 人 为 操作 失误 
和 病毒 侵袭 所 造成 的 破坏 ,保障 数据 安全 ,但 是 当面 临 大 范围 灾害 性 突 发 事件 ,如 地 震 、 火 
灾 、 恺 怖 袭击 时 ,上 述 技 术 就 无 能 为 力 了 。 此 时 车 想 迅速 恢 复 应 用 系统 的 数据 ,保持 企业 的 
正常 运行 ,就 必须 建立 异地 的 灾难 备份 系统 ( 即 容 灾 系 统 )。 美 国 Minnesota 大 学 的 研究 表 
明 , 遭 遇 灾难 的 同时 又 没有 灾难 恢复 计划 的 企业 ,超过 60% 以 上 的 在 2 一 3 年 后 将 退出 市 
场 。 在 美国 "9。11? 事 件 中 ,很 多 公司 多 年 积累 的 经 营 数据 毁 于 一 旦 ,公司 处 于 崩溃 的 边缘 ， 
而 一 些 建立 了 容 灾 系 统 的 公司 ,如 总 部 设 在 世贸 中 心 的 摩根 -斯 坦 利 公司 ,在 第 二 天 就 恢复 
了 正常 运转 。 这 一 事例 再 次 唤起 人 们 对 容 灾 技 术 的 重视 。 

业务 连续 性 和 灾难 恢复 起 步 于 20 世纪 70 年 代 中 期 的 美国 ,历史 性 标志 是 1979 年 在 美 
国宾 夕 法 尼 亚 州 的 费城 建立 了 专业 商业 化 的 容 灾 备份 中 心 并 对 外 提供 服务 。20 世纪 90 年 
代 后 期 ,千年 虫 问题 促进 了 业务 连续 性 和 灾难 恢复 管理 的 进一步 深入 和 发 展 。2001 年 各 动 
一 时 的 “9。11” 泡 怖 袭击 事件 不 仅 造成 了 重大 的 人 员 伤 亡 和 财产 损失 ,一 批 设 在 世贸 中 心 的 
公司 因为 重要 数据 的 毁灭 而 再 也 无 法 正常 营业 。“9。11? 给 大 家 带 来 的 深刻 的 启示 就 是 容 
灾 备 份 是 信息 系统 安全 的 重要 设施 ,重要 信息 系统 必须 构建 容 灾 备份 系统 ,以 防范 和 抵御 灾 
难 带 来 的 毁灭 性 打击 。 

我 国 业 务 连续 性 和 灾难 恢复 工作 起 步 于 20 世纪 90 年 代 末 ,这 时 一 些 单位 在 信息 化 建 
设 的 同时 ,开始 关注 数据 安全 的 保护 ,开展 了 数据 备份 工作 。 随 后 ,千年 虫 问题 和 “9，。11” 事 
件 也 极 大 触动 了 我 国 灾难 恢复 管理 的 发 展 和 成 熟 。 

2003 年 ,中 共 中 央 办 公 厅 、 国 务 院 办 公 厅 下 发 了 《国家 信息 化 领导 小 组 关于 加 强 信息 安 
全 保障 工作 的 意见 》, 在 文件 中 要 求 要 高 度 重视 灾难 备份 工作 。 为 贯彻 落实 中 央 指 示 , 国 务 
院 信息 化 工作 办 公 室 于 2004 年 9 月 下 发 了 《关于 做 好 重要 信息 系统 灾难 备份 工作 的 通知 》， 
文件 强调 了 "统筹 规划 资源 共享 、. 平 战 结合 "的 灾难 恢复 工作 原则 。 为 进一步 推动 8 个 重点 
行业 (银行 证券, 保险 电力、 民航 、 铁 路 \ 海 关 、 税 务 ) 加 快 实施 灾难 恢复 工作 ,国务 院 信息 化 
工作 办 公 室 于 2005 年 4 月 下 发 了 《重要 信息 系统 灾难 恢复 指南 ), 文 件 指明 了 灾难 恢复 的 流 
程 , 容 灾 备 份 中 心 的 等 级 划分 及 灾难 恢复 预案 的 制定 ,使 得 灾难 恢复 建设 迈 上 了 一 个 新 的 台 
阶 。2007 年 在 (重要 信息 系统 灾难 恢复 指南 ?基础 上 ,编制 并 正式 发 布 了 国家 标准 GB/T 
20988 一 2007《 信 息 安全 技术 信息 系统 灾难 恢复 规范 ) 来 指导 信息 技术 容 灾 备份 系统 的 建设 。 
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3.7.2 灾难 恢复 的 级 别 和 指标 


1. 灾难 恢复 的 定义 

在 《重要 信息 系统 灾难 恢复 规划 指南 ) 中 对 灾难 有 明确 定义 : 灾难 是 由 于 人 或 自然 原 
因 造 成 的 信息 系统 运行 严重 故障 或 瘫痪 ,使 信息 系统 支持 的 业务 功能 停顿 或 服务 水 平 不 
可 接受 、 达 到 特定 时 间 的 突 发 性 事件 ,通常 导致 信息 系统 需要 切换 到 备用 场地 运行 。 灾 难 
主要 包括 地 震 、 火 灾 、 水 灾 、 战 争 、 怒 怖 袭击 、 设 备 系统 故障 、 人 为 破坏 等 无 法 预料 的 突 发 
事件 。 

灾难 恢复 是 指 利用 技术 ,管理 手段 及 相关 资源 确保 关键 数据 ,关键 数据 处 理 信 息 系统 、 
关键 业务 在 灾难 发 生 后 可 以 恢复 和 重 续 运 营 的 过 程 。 灾 难 恢复 的 最 高 目标 是 实现 数据 零 丢 
失 和 业务 连续 性 。 

2. 容 灾 备份 系统 的 种 类 

按照 建立 容 灾 系 统 目 标的 不 同 , 容 灾 备 份 系统 可 以 分 为 两 种 , 即 数据 容 灾 、 应 用 容 灾 。 

数据 容 灾 是 最 常见 的 容 灾 备份 方式 ,是 指 建立 一 个 异地 的 备份 数据 系统 ,该 系统 是 对 本 
地 系统 关键 应 用 数据 的 实时 复制 ,也 可 比 本 地 数据 略微 滞后 。 数 据 容 灾 的 主要 目的 是 保证 
企业 关键 数据 的 完整 性 和 可 用 性 。 在 数据 容 灾 这 个 级 别 , 发 生 灾难 时 应 用 会 中 断 , 服 务 器 必 
须 暂 停业 务 来 进行 异地 恢复 ,这 种 方式 的 优点 是 成 本 低 、 构 建 简单 。 但 是 对 需要 保持 7X24 
小 时 连续 服务 的 企业 来 说 ,数据 级 容 灾 方式 显然 是 不 够 的 。 

应 用 级 容 灾 是 在 数据 容 灾 的 基础 上 ,同时 将 应 用 程序 的 处 理 状态 进行 备份 ,其 实现 方式 
是 在 异地 建立 一 套 完整 的 .与 本 地 数据 系统 相当 的 备份 应 用 系统 (可 以 同 本 地 应 用 系统 互 为 
备份 ,也 可 与 本 地 应 用 系统 共同 工作 ) 。 当 灾难 发 生 时 ,异地 的 应 用 容 灾 中 心 可 以 接替 原来 
的 系统 继续 工作 ,保持 业务 的 连续 性 。 应 用 容 灾 是 更 高 层次 的 容 灾 系 统 。 

3. 灾难 备份 系统 的 级 别 

设计 一 个 容 灾 备份 系统 需要 考虑 多 方面 的 因素 ,包括 备份 /恢复 的 数据 量 大 小 、 应 用 数 
据 中 心 和 备 援 数据 中 心 之 间 的 距离 和 连接 方法 、 灾 难 发 生 时 所 要 求 的 恢复 速度 、 备 援 中 心 的 
管理 和 经 营 方法 ,以 及 可 投入 的 资金 多 少 等 。 根 据 这 些 因 素 可 将 容 灾 备份 系统 划分 为 不 同 
的 级 别 ,分 别 适 用 于 不 同 的 规模 和 应 用 场合 。 

1) 国际 上 的 灾难 恢复 等 级 划分 

灾难 恢复 的 国际 标准 是 1992 年 Anaheim 提出 的 SHARE 78, 将 灾难 恢复 由 高 到 低 划 
分 为 7 级 : 

(1) 第 0 级 : 没有 异地 数据 (No Off-site Data)。 

第 0 级 没有 任何 异地 备份 或 应 急 计划 ,数据 仅 在 本 地 进行 备份 恢复 ,没有 送 往 异 地 。 事 
实 上 这 一 层 并 不 具备 真正 灾难 恢复 的 能 力 。 

(2) 第 1 级 : 卡车 运送 访问 方式 (Pickup Truck Access Method,PTAM)。 

第 1 级 要 求 必须 设计 一 个 灾难 恢复 应 急 方案 ,能 够 备份 所 需要 的 信息 并 将 它 保存 在 异 
地 ,灾难 恢复 时 将 根据 需要 ,有 选择 地 搭建 备 援 的 硬件 平台 并 在 其 上 恢复 数据 。PTAM 指 
将 本 地 备份 的 数据 用 交通 工具 送 到 远方 。 这 种 方案 相对 来 说 成 本 较 低 ,但 难于 管理 。 

PTAM 是 一 种 广泛 使 用 的 容 灾 系 统 , 备 份 数据 被 送 往 远 离 本 地 的 异地 保存 ,可 抵御 大 


第 3 章 信息 系统 的 物理 安全 和 可 靠 性 87 





规模 的 灾难 事件 。 灾 难 发 生 后 ,需要 按 预 定 的 数据 恢复 方案 购置 和 安装 备 援 硬件 平台 、 恢 复 
系统 和 企业 数据 ,并 重新 与 网 络 连接 。 这 种 容 灾 方 案 成 本 低 ( 仅 需要 传输 工具 和 存储 设备 的 
消耗 ), 且 易于 配置 。 但 当 数 据 容量 增 大 时 ,备份 数据 难以 管理 ,用 户 难 以 及 时 知道 所 需 的 数 
据 存储 在 什么 地 方 。 

当 备 援 系统 开始 工作 后 ,首先 应 及 时 恢复 关键 应 用 , 非 关 键 应 用 可 根据 需要 慢 慢 恢复 ， 
因为 PTAM 的 备份 地 点 事先 往往 只 有 很 少 的 硬件 设备 ,因此 我 们 将 其 称 为 冷 备份 站 点 , 它 
的 恢复 时 间 往 往 较 长 ,如 一 星期 甚至 更 久 。 

(3) 第 2 级 : PTAM 十 热 备份 中 心 (PTAM 十 Hot Center) 。 

第 2 级 在 第 1 级 的 基础 上 再 加 上 热 备份 中 心 以 进一步 灾难 恢复 。 热 备份 中 心 拥 有 足够 
的 硬件 和 网 络 设备 ,当主 数据 中 心 破坏 时 可 切换 用 于 支持 关键 应 用 的 备 援 站 点 。 对 于 十 分 
关键 的 应 用 ,必须 由 热 备份 站 点 在 异地 提供 支持 。 这 样 当 灾难 发 生 时 才能 及 时 恢复 。 在 第 
2 级 容 灾 系统 中 ,平时 备份 数据 用 PTAM 的 方法 存 人 备份 数据 仓库 , 当 灾 难 发 生 的 时 候 , 备 
份 数 据 再 被 运送 到 一 个 热 备份 站 点 。 虽 然 移 动 数 据 到 一 个 热 备份 站 点 增加 了 成 本 ,但 却 缩 
减 了 灾难 恢复 的 时 间 ,一 般 在 一 天 左右 。 

(4) 第 3 级 : 电子 链接 (Electronic Vaulting)。 

第 3 级 是 在 第 2 级 的 基础 上 用 电子 链 路 取代 卡车 进行 备份 数据 传送 的 容 灾 系 统 , 热 备 
份 站 点 和 主 数据 中 心 在 地 理 上 必须 远离 ,备份 数据 通过 网 络 传输 。 由 于 热 备 份 站 点 要 持续 
运行 ,因此 系统 成 本 高 于 第 2 级 ,但 进一步 提高 了 灾难 恢复 的 速度 ,典型 的 恢复 时 间 在 一 天 
以 内 。 

(5) 第 4 级 : 活动 状态 的 备份 中 心 (Active Secondary Site) 。 

第 4 级 要 求 地 理 上 分 开 的 两 个 站 点 同时 处 于 工作 状态 并 相互 管理 彼此 的 备份 数据 , 另 
一 项 重大 的 改进 就 是 两 个 站 点 之 间 可 以 相互 分 担 工 作 负 载 , 站 点 一 可 以 成 为 站 点 二 的 备份 ; 
反之 亦 然 , 备 援 行动 可 以 在 任何 一 个 方向 发 生 。 关 键 的 在 线 数据 不 停 地 在 两 个 站 点 之 间 复 
制 和 传送 着 ,灾难 发 生 时 , 另 一 站 点 可 通过 网 络 迅 速 切 换 用 于 支持 关键 应 用 。 但 是 该 系统 自 
最 近 一 次 数据 复制 以 来 的 业务 数据 将 会 丢失 ,其 他 非 关 键 应 用 也 将 需要 手工 恢复 。 第 4 级 
容 灾 系 统 把 关键 应 用 的 灾难 恢复 时 间 降 低 到 了 小 时 级 或 分 钟 级 。 

(6) 第 5 级 ; 两 个 活动 的 数据 中 心 , 两 步 提交 (Two-Site, Two-Phase Commit) 。 

第 5 级 与 第 4 级 的 结构 类 似 ,在 满足 第 4 级 所 有 功能 要 求 的 基础 上 ,进一步 提供 了 两 个 
站 点 间 的 数据 互 作 镜像 (数据 库 的 一 次 提交 过 程 会 同时 更 新 本 地 和 远程 数据 库 中 的 数据 ) 。 
数据 库 的 两 步 提交 方法 保证 了 任何 一 项 事务 在 被 接收 以 前 ,两 个 站 点 间 的 数据 都 必须 同时 
被 更 新 。 在 备 援 站 点 中 需要 配备 一 些 专用 硬件 设备 ,以 保证 在 两 个 站 点 之 间 自 动 分 担 工作 
负载 和 两 步 提 交 的 正确 执行 ,因为 采用 了 两 步 提交 来 同步 数据 ,在 两 个 站 点 间 互 作 镜 像 ,所 
以 当 灾难 发 生 时 ,仅仅 只 有 传送 中 尚未 完成 提交 的 数据 被 丢失 ,恢复 的 时 间 被 降低 到 了 分 
钟 级 。 

(7) 第 6 级 : 0 数据 丢失 (Zero Data Loss) 。 

第 6 级 是 灾难 恢复 的 最 高 级 别 , 可 以 实现 零 数据 丢失 。 只 要 用 户 按 下 Enter 键 向 系统 
提交 了 数据 ,那么 不 管 发 生 了 什么 灾难 性 事件 ,系统 都 能 保证 该 数据 的 安全 。 所 有 的 数据 都 
将 在 本 地 和 远程 数据 库 之 间 同 步 更 新 , 当 发 生 灾难 事件 时 , 备 援 站 点 能 通过 网 络 侦 测 故障 并 
立即 自动 切换 ,负担 起 关键 应 用 。 第 6 级 是 容 灾 系统 中 最 昂贵 的 方式 ,但 也 是 速度 最 快 的 恢 
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复方 式 。 

第 4 级 ,第 5 级 和 第 6 级 容 灾 系统 具有 类 似 的 系统 框架 结构 ,区 别 在 于 数据 备份 管理 软 
件 的 差异 和 备 援 站 点 内 硬件 配置 的 不 同 ,进而 导致 了 系统 成 本 和 性 能 的 差异 。 第 4 级 的 容 
灾 系 统 只 需要 配置 远程 系统 备份 软件 即 可 工作 ; 第 5 级 容 灾 系统 依赖 于 数据 库 系统 的 两 步 
提交 来 保持 数据 的 同步 ; 第 6 级 容 灾 系统 则 需要 配置 复杂 的 数据 管理 软件 和 专用 的 硬件 设 
备 ,以 保证 灾难 发 生 时 的 零 数据 丢失 和 备 援 站 点 的 即时 切换 。 

2) 我 国 灾难 恢复 等 级 划分 

在 GB/T 20988-2007《 信 息 安全 技术 信息 系统 灾难 恢复 规范 ) 中 ,根据 支持 灾难 恢复 
各 个 等 级 所 需要 的 资源 , 即 数据 备份 系统 、 备 用 数据 处 理 系统 、 备 用 网 络 系统 、 备 用 基础 
设施 、 技 术 支 持 能 力 、 运 行 维 护 管理 能 力 和 灾难 恢复 预案 7 个 要 素 划 分 了 6 个 灾难 恢复 
等 级 。 
: 基本 支持 ; 
: 备用 场地 支持 ; 
: 电子 传输 和 部 分 设备 支持 ; 
: 电子 传输 及 完整 设备 支持 ; 

第 五 级 : 实时 数据 传输 及 完整 设备 支持 ; 

第 六 级 : 数据 零 丢 失 和 远程 集群 支持 。 

(1) 第 一 级 : 基本 支持 。 

在 第 一 级 中 ,每 周至 少 做 一 次 完全 数据 备份 ,并 且 备份 介质 场 外 存放 ,同时 还 需要 有 符 
合 介质 存放 的 场地 ; 单位 要 制定 介质 存放 、 验 证 和 转 储 的 管理 制度 ,并 按 介质 特征 对 备份 数 
据 进 行 定 期 的 有 效 性 验证 ; 单位 需要 指定 经 过 完整 测试 和 演练 的 灾难 恢复 预案 ,具体 技术 
和 管理 支持 如 表 3. 2 所 示 。 

表 3.2 灾难 恢复 第 一 级 要 求 

要 素 要 求 
(1) 完全 数据 备份 至 少 每 周一 次 
sD .| 发 又 各 从 系统 (2) 备份 介质 场 外 存放 
A.1.2 | 备用 数据 处 理 系统 = 
A.1.3 | 备用 网 络 系统 和 
A.1.4 | 备用 基础 设施 有 符合 介质 存放 条 件 的 场地 
A.1.5 | 技术 支持 > 
(1) 有 介质 存 取 、 验 证 和 转 储 管理 制度 
(2) 按 介质 特征 对 备份 数据 进行 定期 的 有 效 性 验证 
A.1.7 | 灾难 恢复 预案 有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 




















A.1.6 | 运行 维护 支持 











(2) 第 二 级 : 备用 场地 支持 。 

第 二 级 相当 于 在 第 一 级 的 基础 上 ,增加 了 在 预定 时 间 内 能 调配 所 需 使 用 的 数据 处 理 设 
备 、 通 信 线 路 和 网 络 设备 到 场 要 求 ; 并 且 需 要 有 备用 的 场地 , 它 能 满足 信息 系统 和 关键 功能 
恢复 运行 的 要 求 ; 对 于 单位 的 运 维 能 力 , 也 增加 了 具有 备份 场地 管理 制度 和 签署 符合 灾难 
恢复 时 间 要 求 的 紧急 供 货 协 议 , 具 体 技术 和 管理 支持 如 表 3. 3 所 示 。 


A 
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表 3.3 灾难 恢复 第 二 级 要 求 























要 素 要 求 
0D 完全 数据 香 份 至 少 每 周一 次 
A.2.1 | 数据 备份 系统 (2) 备份 介质 场 外 存放 
入 3 2 | 备用 数据 处 理 系 统 | 灾难 发 生 时 能 在 预定 时 间 内 调配 所 需 的 数据 处 理 设备 
A.2.3 | 备用 网 络 系 统 灾难 发 生 时 能 在 预定 时 间 内 调配 所 和 需 的 通信 线路 和 网络 设备 
CD 有 符合 介质 存放 条 件 的 场地 
|| odd (2) 有 满足 信息 系统 和 关键 业务 恢复 运作 要 求 的 备用 场地 
A.2.5 | 技术 支持 we 
CD 有 介质 存 取 .验证 和 转 储 管理 制度 
(2) 按 介质 特征 对 备份 数据 进行 定期 的 有 效 性 验证 
A. 2.6 | 运行 维护 支持 (3) 具有 备份 场地 管理 制度 
(4) 与 相关 厂商 签署 符合 灾难 恢复 时 间 要 求 的 紧急 供 货 协议 
(5) 与 相关 厂商 签署 符合 灾难 恢复 时 间 要 求 的 备用 通信 线路 协议 
六 3 7 | 灾难 恢复 预案 有 相应 的 经 过 完整 性 测试 和 演练 的 灾难 恢复 预案 








(3) 第 三 级 : 电子 传输 和 部 分 设备 支持 。 

第 三 级 要 求 配置 部 分 数据 处 理 设备 、 部 分 通信 线路 和 网 络 设备 ; 要 求 每 天 实现 多 次 的 
数据 电子 传输 ,并 在 备用 场地 配置 专职 的 运行 管理 人 员 ; 对 于 运行 维护 支持 而 言 ,要 求 具备 
备用 计算 机 处 理 设备 维护 管理 制度 和 电子 传输 备份 系统 运行 管理 制度 ,具体 技术 和 管理 支 
持 如 表 3.4 所 示 。 


表 3.4 灾难 恢复 第 三 级 要 求 





























要 素 要 求 
CD 完全 数据 备份 至 少 每 天 一 次 
A. 3.1 | 数据 备份 系统 (2) 备份 介质 场 外 存放 
(3) 每 天 多 次 利用 通信 网 络 将 关键 数据 定时 批量 传送 至 备用 场地 
A.3.2 | 备用 数据 处 理 系统 “| 配置 灾难 恢复 所 需 的 部 分 数据 处 理 设备 
A.3.3 | 备用 网 络 系统 配备 部 分 通信 线路 和 网 络 设备 
CD 有 符合 介质 存放 条 件 的 场地 
AS | 部 用 基 珊 设计 (2) 有 满足 信息 系统 和 关键 业务 恢复 运作 要 求 的 备用 场地 
入 3 5 | 技术 支持 在 备用 场地 有 专职 的 计算 机 机 房 运行 管理 人 员 
CD 按 介质 特征 对 备份 数据 进行 定期 的 有 效 性 验证 
(2) 有 介质 存 取 、 验 证 和 转 储 管理 制度 
A. 3.6 | 运行 维护 支持 (3) 有 备用 计算 机 机 房管 理 制度 
(4) 有 备用 数据 处 理 设备 硬件 维护 管理 制度 
(5) 有 电子 传输 数据 备份 系统 运行 管理 制度 
A.3.7 | 灾难 恢复 预案 有 相应 的 经 过 完整 性 测试 和 演练 的 灾难 恢复 预案 


(4) 第 四 级 : 电子 传输 和 完整 设备 支持 。 

第 四 级 相对 于 第 三 级 中 的 部 分 数据 处 理 设备 和 网 络 设备 而 言 , 需 配置 灾难 恢复 所 需 的 
全 部 数据 处 理 设备 、 通 信 线 路 和 网 络 设备 ,并 处 于 就 绪 状 态 ; 备用 场地 也 提出 了 7X24 小 时 
运行 的 要 求 , 同 时 ,对 技术 支持 人 员 和 运 维 管理 要 求 也 有 相应 的 提高 ,具体 技术 和 管理 支持 
如 表 3.5 所 示 。 
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表 3.5 灾难 恢复 第 四 级 要 求 


要 素 要 求 

(1) 完全 数据 备份 至 少 每 天 一 次 

A.4.1 | 数据 备份 系统 (2) 备份 介质 场 外 存放 

(3) 每 天 多 次 利用 通信 网 络 将 关键 数据 定时 批量 传送 至 备用 场地 
A.4.2 | 备用 数据 处 理 系统 Re 
A.4.3 | 备用 网 络 系统 配备 灾难 恢复 所 需 的 通信 线路 和 网 络 设备 ,并 处 于 就 绪 状 态 

(1) 有 符合 介质 存放 条 件 的 备用 场地 

(2) 有 符合 备用 数据 处 理 系 统 和 备用 网 络 设备 运行 要 求 的 场地 
(3) 有 满足 关键 业务 功能 恢复 运作 要 求 的 场地 

(4) 以 上 场地 应 保持 7X 24 运作 

在 备用 场地 有 

(1) 7X24 专职 计算 机 机 房管 理 人 员 

(2) 专职 数据 备份 技术 支持 人 员 

(3) 专职 硬件 、 网 络 技术 支持 人 员 

(1) 按 介质 特征 对 备份 数据 进行 定期 的 有 效 性 验证 

(2) 有 介质 存 取 、 验 证 和 转 储 管理 制度 

A.4.6 | 运行 维护 支持 (3) 有 备用 计算 机 机 房 运行 管理 制度 

(4) 有 硬件 和 网 络 运行 管理 制度 

(5) 有 电子 传输 数据 备份 系统 运行 管理 制度 

A.4.7 | 灾难 恢复 预案 有 相应 的 经 过 完整 性 测试 和 演练 的 灾难 恢复 预案 














A.4.4 | 备用 基础 设施 





A.4.5 | 技术 支持 














(5) 第 五 级 : 实时 数据 传输 和 完整 设备 支持 。 

第 五 级 相对 于 第 四 级 的 数据 电子 传输 而 言 ,要 求 采用 远程 数据 复制 技术 ,利用 网 络 将 关 
键 数据 实时 复制 到 备用 场地 ; 备用 网 络 应 具备 自动 或 集中 切换 能 力 ; 备用 场地 有 7X24 小 
时 专职 数据 备份 硬件、 网 络 技术 支持 人 员 ,具备 较 严 格 的 运行 管理 制度 ,具体 技术 和 管理 支 
持 如 表 3.6 所 示 。 


表 3.6 灾难 恢复 第 五 级 要 求 


要 素 要 求 

(1) 完全 数据 备份 至 少 每 天 一 次 

(2) 备份 介质 场 外 存放 

(3) 用 远程 数据 复制 技术 ,并 利用 通信 网 络 将 关键 数据 实时 复制 到 
备份 场地 

配置 灾难 恢复 所 需 的 全 部 数据 处 理 设备 ,并 处 于 就 绪 状 态 或 运行 
状态 

(1) 配备 灾难 恢复 所 需 的 通信 线路 和 网 络 设备 ,并 处 于 就 绪 状 态 
(2) 具备 通信 网 络 自动 或 集中 切换 能 力 

(1) 有 符合 介质 存放 条 件 的 备用 场地 

(2) 有 符合 备用 数据 处 理 系 统 和 备用 网 络 设备 运行 要 求 的 场地 

(3) 有 满足 关键 业务 功能 恢复 运作 要 求 的 场地 

(4) 以 上 场地 应 保持 7X 24 运作 





A.5.1 | 数据 备份 系统 





A.5.2 | 备用 数据 处 理 系统 





A.5.3 | 备用 网 络 系统 





A.5.4 | 备用 基础 设施 








AS 
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续 表 
要 求 





在 备用 场地 有 : 

(1) 7X24 专职 计算 机 机 房管 理 人 员 
(2) 专职 数据 备份 技术 支持 人 员 
(3) 专职 硬件 、 网 络 技术 支持 人 员 





运行 维护 支持 


(1) 按 介质 特征 对 备份 数据 进行 定期 的 有 效 性 验证 
(2) 有 介质 存 取 、 验 证 和 转 储 管理 制度 

(3) 有 备用 计算 机 机 房 运行 管理 制度 

(4) 有 硬件 和 网 络 运行 管理 制度 

(5) 有 实时 数据 备份 系统 运行 管理 制度 





A.5.7 





灾难 恢复 预案 





有 相应 的 经 过 完整 性 测试 和 演练 的 灾难 恢复 预案 


(6) 第 六 级 : 数据 零 丢 失 和 远程 集群 支持 。 

第 六 级 相对 于 第 五 级 的 实时 数据 复制 而 言 ,要 求实 现 远 程 数 据 实时 备份 ,实现 零 丢 失 ; 
备用 数据 处 理 系统 具备 与 生产 数据 处 理 系统 一 致 的 处 理 能 力 并 完全 兼容 ,应 用 软件 是 集群 
的 ,可 以 实现 无 缝 切换 ,并 具备 远程 集群 系统 的 实时 监控 和 自动 切换 能 力 ; 对 于 备用 网 络 系 
统 的 要 求 也 加 强 , 要 求 最 终 用 户 可 通过 网 络 同时 接 入 主 、 备 中 心 ; 备用 场地 还 有 7X24 小 时 
专职 操作 系统 、 数 据 库 和 应 用 软件 的 技术 支持 人 员 ,具备 完善 .严格 的 运行 管理 制度 。 具 体 
技术 和 管理 支持 如 表 3.7 所 示 。 


要 素 


表 3.7 灾难 恢复 第 六 级 要 求 
要 求 





数据 备份 系统 


(1) 完全 数据 备份 至 少 每 天 一 次 
(2) 备份 介质 场 外 存放 
(3) 远程 实时 备份 ,实现 数据 零 丢 失 





备用 数据 处 理 系统 


(1) 备用 数据 处 理 系统 具备 与 生产 数据 处 理 系统 一 致 的 处 理 能 力 并 
完全 兼容 

(2) 应 用 软件 是 集群 的 ,可 以 实现 无 颖 切换 

(3) 具备 远程 集群 系统 的 实时 监控 和 自动 切换 能 力 





备用 网 络 系统 


(1) 配备 与 生产 系统 相同 等 级 的 通信 线路 和 网 络 设备 
(2) 备用 网 络 处 于 运行 状态 
(3) 最 终 用 户 可 通过 网 络 同时 接 入 主 、 备 中 心 





备用 基础 设施 


(1) 有 符合 介质 存放 条 件 的 备用 场地 

(2) 有 符合 备用 数据 处 理 系统 和 备用 网 络 设备 运行 要 求 的 场地 
(3) 有 满足 关键 业务 功能 恢复 运作 要 求 的 场地 

(4) 以 上 场地 应 保持 7X24 运作 








技术 支持 





在 备用 场地 有 : 

(1) 7X24 专职 计算 机 机 房管 理 人 员 

(2) 7X24 专职 数据 备份 技术 支持 人 员 

(3) 7X24 专职 硬件 、 网 络 技术 支持 人 员 

(4) 7X24 专职 操作 系统 数据库 和 应 用 软件 技术 支持 人 员 
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续 表 
要 素 要 求 
(1) 按 介质 特征 对 备份 数据 进行 定期 的 有 效 性 验证 
(2) 有 介质 存 取 、 验 证 和 转 储 管理 制度 
(3) 有 备用 计算 机 机 房 运行 管理 制度 
(4) 有 硬件 和 网 络 运行 管理 制度 
(5) 有 实时 数据 备份 系统 运行 管理 制度 
(6) 有 操作 系统 ,数据 库 和 应 用 软件 运行 管理 制度 
A. 6.7 | 灾难 恢复 预案 有 相应 的 经 过 完整 性 测试 和 演练 的 灾难 恢复 预案 














通过 分 析 以 上 灾难 恢复 的 级 别 ,一 个 完整 的 容 灾 系统 应 该 具有 以 下 几 个 组 成 部 分 : 

(1) 本 地 的 高 可 用 系统 : 确保 本 地 发 生 局 部 故障 或 单 点 故障 时 的 系统 安全 ; 

(2) 数据 备份 系统 : 用 于 抗御 用 户 误 操作 、 病 毒 人 侵 、 黑 客 攻击 等 威胁 ; 

(3) 数据 远程 复制 系统 : 保证 本 地 数据 中 心 和 远程 备 援 中 心 的 数据 一 致 ; 

(4) 远程 的 高 可 用 管理 系统 : 实现 远程 广 域 范围 的 数据 管理 , 它 基 于 本 地 的 高 可 用 系 
统 之 上 ,在 远程 实现 故障 的 诊断 ,分 类 并 及 时 采取 相应 的 故障 管理 措施 。 

4. 容 灾 系统 的 系统 结构 

容 灾 系统 的 系统 框架 如 图 3.7 所 示 。 
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本 地 容 灾 系 统 





异地 容 灾 系 统 
图 3.7 容 灾 系统 的 系统 框架 
容 灾 系统 的 主要 作用 是 保证 数据 完整 性 和 业务 连续 性 ,数据 完整 性 是 业务 连续 性 的 基 
础 。 一 个 完整 的 容 灾 系统 ,应 该 由 本 地 生产 系统 、 本 地 备用 生产 系统 、 生 产 数据 中 心 、 本 地 备 
份 数 据 中 心 、 异 地 应 用 系统 、 异 地 数据 中 心 6 部 分 组 成 ,本 地 生产 系统 、 本 地 备用 生产 系统 和 
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生产 数据 中 心 组 成 了 高 可 用 系统 ,根据 需求 ,可 以 使 用 其 中 的 某 几 部 分 组 成 不 同 级 别 的 容 灾 
系统 。 

使 用 本 地 高 可 靠 系统 和 本 地 数据 备份 中 心 可 建立 本 地 容 灾 中 心 ,能 够 容忍 硬件 毁坏 等 
灾难 造成 的 单 点 失效 ,而 对 于 火灾 、 大 楼 倒塌 等 大 规模 灾难 却 无 能 为 力 。 使 用 本 地 高 可 用 系 
统 、 本 地 备用 数据 中 心 和 异地 数据 中 心 可 以 建立 异地 数据 容 灾 系 统 。 使 用 本 地 高 可 靠 系 统 、 
本 地 备用 数据 中 心 、 异 地 应 用 系统 和 异地 数据 中 心 可 以 建立 异地 应 用 容 灾 系统 ,而 根据 异地 
备份 中 心 与 本 地 系统 距离 的 远近 ,系统 所 能 容忍 的 灾难 也 不 相同 ,如 果 异 地 数据 备份 中 心 与 
本 地 系统 在 100km 之 内 ,可 以 容忍 火灾 、 停 电 、 建 筑 物 倒塌 等 灾难 ; 如 果 达 到 了 几 百 千 米 ， 
可 以 容忍 地 震 、 水 灾 等 大 规模 、 大 范围 的 灾难 。 

本 地 系统 与 异地 系统 的 数据 同步 方式 也 有 很 多 种 选择 ,例如 对 于 异地 数据 容 灾 系统 , 数 
据 同步 方式 可 以 选择 用 运输 工具 运输 到 异地 数据 中 心 , 也 可 以 选择 同步 或 者 异步 的 方式 直 
接 由 生产 数据 中 心 复制 到 异地 数据 中 心 ; 而 对 于 异地 应 用 容 灾 系统 ,就 只 能 选择 同步 或 者 
异步 的 方式 直接 由 生产 数据 中 心 直 接 复制 到 异地 数据 中 心 。 在 这 个 容 灾 系统 结构 中 ,本 地 
数据 中 心 需要 及 时 地 将 数据 复制 到 异地 数据 中 心 ,并 要 保证 数据 的 完整 性 和 可 用 性 。 而 为 
使 异地 系统 能 够 及 时 地 发 现 本 地 系统 的 灾难 ,就 需要 进行 灾难 检测 ,保证 异地 系统 能 够 及 时 
发 现 灾难 ,并 能 及 时 地 替换 本 地 系统 ,也 就 是 将 本 地 系统 的 业务 迁移 到 异地 系统 ,从 而 保证 
业务 的 连续 性 。 

5. 灾难 恢复 的 指标 

在 灾难 恢复 领域 ,除了 等 级 划分 ,还 提供 了 用 于 量化 描述 灾难 恢复 目标 的 最 常用 的 恢复 
目标 指标 : RPO( 恢 复 点 目标 ) 和 RTO( 恢 复 时 间 目 标 ) 。 

(1) 恢复 点 目标 (Recovery Point Objective, RPO): 灾难 发 生 后 ,系统 和 数据 必须 恢复 
到 的 时 间 点 要 求 。 它 代表 了 灾难 发 生 时 允许 丢失 多 长 时 间 的 数据 量 。 例 如 ,1 小 时 的 RPO 
指 灾难 发 生 后 容 灾 系统 能 够 对 灾难 发 生 1 小 时 前 的 所 有 数据 进行 恢复 ,但 这 1 小 时 的 数据 
可 能 会 丢失 。 

(2) 恢复 时 间 目 标 (Recovery Time Objective, RTO): 灾难 发 生 后 ,信息 系统 或 业务 功 
能 从 停顿 到 必须 恢复 的 时 间 要 求 , 它 代表 了 系统 恢复 的 时 间 。 

PRO 描述 的 是 数据 丢失 指标 ,而 RTO 描述 的 是 服务 丢失 指标 ,二 者 没有 必然 的 关联 
性 。 实 际 中 可 根据 RPO 和 RTO 的 要 求 规划 建设 容 灾 备份 系统 。 


3.7.3 容 灾 系 统 关键 技术 


容 灾 系 统 所 包含 的 关键 技术 包括 数据 存储 技术 .远程 镜像 技术 灾难 检测 、 系 统 迁 移 等 。 

1. 数据 存储 技术 

容 灾 系 统 需 要 存储 的 数据 量 庞大 ,为 了 提高 备份 的 效率 ,出 现 了 很 多 新 的 备份 技术 ,在 
很 大 程度 上 提高 了 备份 速度 ,目前 采用 的 备份 技术 主要 有 以 下 几 种 : 

1) 直接 附加 存储 (Direct Access Storage,DAS) 

传统 的 直接 附加 存储 结构 中 ,将 存储 设备 (如 磁盘 、 阵 列 ) 通 过 SCSI 接口 附加 在 服务 器 
上 ,由 服务 器 提供 存储 设备 的 管理 和 对 外 服务 。 这 种 存储 结构 价格 比较 便宜 ,但 是 支持 的 存 
储 容量 有 限制 ,每 条 并 行 的 SCSI 总 线 最 多 只 能 支持 15 个 磁盘 阵列 , 当 业 务 量 非常 大 、 需 要 
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存储 的 数据 非常 多 时 ,这 种 存储 结构 就 不 大 适用 了 。 并 且 客 户 每 次 访问 存储 设备 中 的 数据 
时 ,数据 需要 在 存储 设备 和 服务 器 之 间 多 次 转发 ,尽管 服务 器 并 不 关心 数据 内 容 , 通 常 也 不 
对 数据 本 身 进行 处 理 , 但 数据 请 求 和 传送 都 需要 服务 器 的 介入 ,存储 容量 扩大 后 ,对 同一 台 
服务 器 进行 访问 ,容易 形成 访问 瓶颈 。 

2) 网 络 附加 存储 (Network Attached Storage,NAS) 

网 络 附加 存储 是 一 种 以 数据 为 中 心 的 存储 结构 ,存储 子 系统 不 再 附属 于 某 个 服务 器 ,而 
是 通过 专门 系统 的 定制 ,将 通用 服务 器 上 的 无 关 功 能 去 掉 , 只 保留 存储 相关 功能 ,可 以 看 成 
是 一 台 专 门 负 责 存 储 的 “ 瘦 " 服 务 器 ,具有 比 DAS 更 高 的 读 写 性 能 。NAS 将 存储 设备 通过 
网 络 协议 控制 器 直接 连接 在 局 域 网 上 ,通过 NAS 内 部 的 文件 管理 系统 对 外 提供 服务 。 

将 NAS 设备 连接 到 网 络 上 非常 方便 。NAS 设备 提供 RJ-45 这 样 的 网 络 物理 接口 和 单 
独 的 IP 地址 ,可 以 将 其 直接 挂 接 在 主干 网 的 交换 机 或 其 他 局 域 网 的 Hub 上 ,通过 简单 的 设 
置 (如 设置 机 器 的 IP 地 址 等 ) 就 可 以 在 网 络 即 插 即 用 地 使 用 ,而 且 进 行 网 络 数据 在 线 扩容 时 
也 无 须 停顿 ,从 而 保证 数据 流畅 存储 。 与 传统 的 服务 器 或 DAS 存储 设备 相 比 ,NAS 可 以 拥 
有 更 大 的 存储 空间 和 相对 低廉 的 价格 。 

由 于 普通 的 LAN 不 是 针对 存储 应 用 设计 的 专用 网 络 ,而 且 目前 大 部 分 LAN 还 是 使 用 
10Mb/s 或 100Mbys 的 传输 速率 连接 ,加 上 LAN 上 又 有 大 量 计算 机 ,因此 网 络 有 限 的 带宽 
要 面 对 大 量 的 传输 需求 ,NAS 存储 设备 所 能 分 到 的 带宽 必然 有 限 。 这 就 造成 了 NAS 的 最 
大 缺点 ,传输 速率 慢 且 不 稳定 ,这 在 进行 备份 或 者 大 文件 存 取 时 将 花费 大 量 的 时 间 。 

3) 存储 区 域 网 络 (Storage Area Network,SAN) 

SAN 的 设计 思想 实际 上 很 简单 ,就 是 建立 一 个 单独 的 网 络 系统 ,采用 适合 数据 传输 和 
管理 特点 的 物理 、 链 路 、 网 络 传输 等 各 层 协 议 ,专门 用 于 存储 的 管理 和 数据 交换 。 目 前 该 网 
络 使 用 FC(Fiber Channel) 协 议 。 该 网 络 只 用 于 存储 ,不 会 有 其 他 服务 的 数据 流 在 上 面 传 
输 , 可 以 做 到 独 享 带宽 ;, 而 且 因 为 光纤 通道 本 身 具 有 的 高 传输 速率 ,使 得 SAN 网 络 的 传输 
速率 可 以 达到 200Mb/s 或 者 更 高 ,同时 还 可 以 保证 数据 传输 速率 的 稳定 性 。 但 也 正 是 由 于 
受到 SAN 使 用 专用 网 络 拓扑 结构 和 不 同 于 一 般 网 络 传输 协议 的 限制 ,SAN 的 设备 仅 能 做 
到 与 连接 在 SAN 上 的 服务 器 间 的 直接 访问 ,而 在 LAN 上 的 客户 端 是 无 法 直接 访问 SAN 
的 设备 的 ,必须 通过 服务 器 间接 访问 。 由 于 SAN 的 硬件 设备 价格 昂贵 ,而 且 ,SAN 作为 一 
种 专用 的 存储 网 络 ,需要 培训 专门 的 人 员 来 管理 ,这 使 得 SAN 的 总 体 拥有 成 本 居 高 不 下 ， 
使 得 很 多 希望 使 用 SAN 的 企业 望而却步 , 转 而 使 用 性 能 较 差 的 NAS, 因 而 SAN 的 普及 和 
使 用 受到 较 大 影响 。 

4) 基于 IP 的 存储 网 络 和 iSCSI 

为 了 解决 前 面 提 到 的 SAN 应 用 带 来 的 问题 ,又 出 现 了 基于 IP 的 存储 网 络 ,IP 存储 网 
络 可 以 说 是 结合 了 NAS 和 SAN 两 者 的 优点 : 一 方面 它 采 用 TCP/IP 作为 网 络 协议 ,使 得 
它 上 只 有 NAS 易于 访问 的 特点 ; 另 一 方面 它 又 有 独立 专用 的 存储 网 络 结构 。 因 此 ,基于 IP 
的 存储 网 络 可 以 使 用 目前 应 用 广泛 的 以 太 网 (Ethernet) 技 术 和 设备 来 构建 专用 的 存储 网 
络 , 通 过 使 用 Ethernet 的 设备 ,其 成 本 与 FC SAN 相 比 大 为 降低 ,而 且 还 保持 有 SAN 的 传 
输 速率 高 且 稳 定 的 优点 。 以 上 两 点 可 以 说 是 基于 IP 的 存储 网 络 技术 的 两 个 最 大 的 优势 。 

IP-SAN 最 大 的 问题 是 它 的 性 能 能 否 达到 FC-SAN 的 标准 。Ethernet 虽然 已 经 出 现 了 
很 长 时 间 , 但 由 于 Ethernet 已 拥有 的 大 量 用 户 和 巨大 市 场 ,各 个 厂家 不 会 放弃 它 ,Ethernet 
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仍然 具有 很 大 的 发 展 潜力 。 虽 然 FC 协议 也 在 持续 不 断 的 发 展 , 但 是 FC-SAN 的 用 户 数量 
和 市 场 范围 都 远 无 法 和 Ethernet 相 比 ,其 发 展 动力 也 就 不 如 Ethernet 大 。Ethernet 速度 目 
前 已 经 有 了 数量 级 的 提高 , 千 兆 级 Ethernet 也 已 经 投入 使 用 ,但 目前 主要 用 于 服务 器 端 或 
构建 主干 网 。 千 兆 级 Ethernet 在 速度 上 已 经 可 以 和 FC 相 比 了 ,其 传输 介质 可 以 使 用 光纤 、 
无 屏蔽 双 绞 线 等 多 种 传输 介质 ,其 价格 却 不 像 FC 那么 昂贵 。 下 一 步 Ethernet 的 速度 会 达 
到 10Gb/s, 而 FC 的 下 一 个 目标 只 是 制造 和 推广 2Gb/s 的 产品 。 

目前 基于 IP 的 存储 网 络 的 核心 技术 是 iSCSI, 这 是 一 种 开放 协议 ,其 基本 架构 是 在 
SCSI 的 数据 包 上 加 上 TCP/IP 协议 ,由 于 加 入 了 TCP/IP 协议 ,iSCSI 协议 可 以 使 SCSI 数 
据 包 在 普通 的 IP 网 络 上 传输 。iSCSI 协议 与 FC 协议 没有 任何 联系 ,该 协议 的 最 终 目的 是 
取代 FC 协议 在 SAN 中 的 位 置 。 

2. 远程 镜像 技术 

数据 备份 技术 通常 是 在 本 地 节点 进行 的 备份 操作 ,备份 间隔 的 单位 通常 为 天 或 月 ,生成 
静态 的 文件 ,可 以 经 过 压缩 等 处 理 静 态 保存 ,在 灾难 发 生 时 能 够 从 备份 中 将 数据 恢复 出 来 。 
例如 保存 于 光盘 、 磁 带 \ 硬 盘 等 数据 备份 介质 上 的 数据 ,需要 经 过 恢复 技术 配合 合适 的 系统 
硬件 环境 才能 恢复 出 来 供 业 务 系统 使 用 。 

而 在 容 灾 系 统 中 的 远程 镜像 则 是 将 数据 实时 或 准 实时 复制 到 异地 节点 ,这 是 一 个 动态 
的 过 程 ,数据 是 在 不 断 更 新 的 ,复制 的 数据 在 异地 节点 上 保持 原来 的 数据 形态 ,与 本 地 节点 
的 数据 保持 基本 一 致 性 ,可 以 不 经 过 恢复 技术 就 可 直接 使 用 。 

镜像 是 在 两 个 或 多 个 磁盘 或 存储 系统 上 产生 同一 个 数据 镜像 视图 的 一 个 信息 存储 过 
程 ,一 个 叫 主 镜像 系统 ,另外 一 个 叫 从 镜像 系统 。 按 主 \ 从 镜像 存储 系统 所 处 的 位 置 可 分 为 
本 地 镜像 和 远程 镜像 ,远程 镜像 是 容 灾 备份 的 核心 技术 。 按 请 求 镜像 的 主机 是 否 需 要 远程 
镜像 站 点 的 确认 信息 ,又 可 分 为 同步 远程 镜像 和 异步 远程 镜像 。 

同步 远程 镜像 中 每 一 步 本 地 1/O 事务 均 需 等 待 远程 复制 的 完成 方 子 释放 ,这 种 方式 的 
远 端 数据 与 本 地 数据 完全 同步 ,但 由 于 数据 复制 过 程 中 存在 时 延 , 本 地 I/O 访问 效率 下 降 ， 
所 以 只 限于 在 相对 较 近 的 距离 上 应 用 (一 般 专线 连接 在 60km 以 内 ,常见 于 同城 系统 ), 同 
时 ,这 种 复制 技术 还 受到 带宽 因素 的 制约 , 若 远 程 的 I/O 带宽 较 窗 时 ,会 显著 拖 慢 主 数 据 中 
心 的 IO, 影响 系统 性 能 。 但 同步 镜像 使 远程 拷贝 总 能 与 本 地 机 要 求 复制 的 内 容 相 匹 配 , 当 
主 站 点 出 现 故 障 时 ,用 户 和 应 用 程序 换 到 一 个 代替 站 点 后 ,远程 的 副本 可 以 继续 执行 操作 。 

异步 远程 镜像 保证 在 更 新 远程 存储 视图 前 完成 向 本 地 存储 系统 的 基本 输入 输出 操作 ， 
而 由 本 地 存储 系统 提供 给 请 求 镜像 服务 器 的 操作 完成 确认 信息 ,不 需要 等 待 远 程 存储 系统 
提供 操作 完成 确认 信息 ,这 使 得 本 地 系统 性 能 受到 很 小 的 影响 。 但 是 ,许多 远程 的 从 属 存储 
子 系 统 的 写 操作 没有 得 到 确认 , 当 某 种 因素 造成 数据 传输 失败 时 ,可 能 出 现 数据 一 致 性 问 
题 。 为 了 解决 数据 一 致 性 问题 ,目前 大 多 采用 延迟 复制 的 技术 , 它 可 以 在 确保 本 地 数据 完好 
无 损 后 进行 远程 数据 更 新 。 

3. 快照 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 数据 信息 的 远程 备份 , 即 通 过 镜像 把 数据 
备份 在 远程 存储 系统 中 ,再 借助 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 、 光 
盘 库 中 。 快 照 是 通过 软件 对 要 备份 的 磁盘 子 系统 的 数据 快速 扫描 ,在 正常 应 用 进行 的 同时 
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实现 对 数据 的 完全 备份 。 它 可 使 用 户 在 正常 应 用 不 受 影响 的 情况 下 实时 提取 当前 在 线 数 
据 ,其 备份 窗口 接近 于 零 , 可 大 大 增加 系统 应 用 的 连续 性 ,为 实现 系统 真正 的 不 间断 运转 提 
供 了 保证 。 

4. 灾难 检测 

对 于 火灾 、 地 震 等 大 规模 灾难 ,当然 可 以 依靠 人 为 确定 ,但 是 对 于 停电 、 硬 件 毁 坏 等 很 难 
觉察 到 的 灾难 就 不 能 仅仅 依靠 人 去 发 现 。 现 在 对 灾难 的 发 现 方法 一 般 是 通过 心跳 技术 和 检查 
点 技术 ,这 种 技术 在 高 可 靠 性 集群 中 应 用 很 广泛 。 对 于 异地 容 灾 , 备 份 生产 中 心 和 主 生产 中 心 
可 能 相隔 千里 ,这 时 候 因为 网 络 延 迟 较 大 或 者 其 他 原因 ,可 能 会 影响 心跳 检测 的 效果 ,因此 如 
何 对 现 有 的 检测 技术 进行 改进 ,以 适应 广域网 的 要 求 , 将 是 实现 高 效 的 远程 容 灾 系 统 的 基础 。 

心跳 技术 ,就 是 每 隔 一 段 时 间 都 要 向 外 广播 自身 的 状态 (通常 为 "存活 "状态 ) ,在 进行 心 
跳 检 测 时 ,心跳 检测 的 时 间 和 时 间 间隔 是 关键 问题 ,如 果 心跳 检测 得 太 频繁 ,将 会 影响 系统 
的 正常 运行 ,占用 系统 资源 ; 如 果 间 隔 时 间 太 长 , 则 检测 就 比较 迟钝 ,影响 检测 的 及 时 性 。 
检查 点 技术 又 称 为 主动 检测 ,就 是 每 隔 一 段 时 间 周 期 ,就 会 对 被 检测 对 象 进行 一 次 检测 ,如 
果 在 给 定 的 时 间 内 ,被 检测 对 象 没有 响应 , 则 认为 检测 对 象 失效 。 与 心跳 技术 相同 ,检测 点 
技术 也 受到 检测 周期 的 影响 ,如 果 检 测 周期 太 短 , 虽 然 能 够 及 时 发 现 故障 ,但 是 给 系统 造成 
很 大 的 开销 ; 如 果 检 测 周期 太 长 , 则 无 法 及 时 发 现 故障 。 

为 了 能 够 实现 异地 容 灾 系 统 ,就 必须 建立 广域网 上 的 分 布 式 可 靠 性 系统 ,这 就 需要 有 高 
效 的 故障 检测 系统 ,能 够 及 时 地 发 现 故障 ,及 时 切换 。 而 对 于 广域网 来 说 属于 异步 的 系统 ， 
没有 同步 的 时 钟 . 没 有 可 靠 的 传输 通道 ,如 何在 异步 的 分 布 式 模型 中 实现 可 靠 高 效 的 故障 检 
测 将 是 建立 异地 容 灾 系 统 的 基础 。 

5 系统 迁移 

在 发 生 灾难 时 ,为 了 能 够 保证 业务 的 连续 性 ,必须 能 够 实现 系统 透明 迁移 ,也 就 是 能 够 
利用 备用 系统 透明 地 代替 生产 系统 。 对 于 实时 性 要 求 不 高 的 容 灾 系 统 , 通 过 DNS 或 者 IP 
地 址 的 改变 来 实现 系统 迁移 便 可 以 了 ,但 是 对 于 可 靠 性 实时 性 要 求 较 高 的 系统 ,就 需要 使 
用 进程 迁移 算法 ,进程 迁移 算法 的 好 坏 对 于 系统 迁移 的 速度 有 很 大 影响 ,现在 该 算法 在 分 布 
式 系统 和 集群 中 得 到 了 广泛 的 运用 ,并 发 挥 着 重大 作用 ,也 有 很 多 研究 对 该 算法 的 性 能 进行 
了 改进 。 

进程 迁移 算法 在 目前 主要 有 贪 禁 拷贝 算法 ,惰性 拷贝 算法 和 预 拷贝 算法 。 贪 禁 拷 贝 算法 
简单 .易于 实现 ,但 是 延 时 较 长 ,并 且 宛 余数 据 会 造成 较 大 的 网 络 延迟 ; 惰性 拷贝 的 延迟 小 、 网 
络 负 担 小 ,但 是 对 原 主机 具有 依赖 性 .可 靠 性 差 ; 预 拷贝 算法 将 信息 分 两 次 拷贝 ,使 得 传输 时 
间 反而 增长 。 现 在 的 进程 迁移 算法 都 是 应 用 于 本 地 集群 的 ,如 何在 远 距 离 容 灾 系 统 中 实现 高 
效 的 进程 迁移 ,就 必须 对 进程 迁移 算法 进行 改进 ,使 它 能 够 适应 广域网 复杂 的 环境 。 





3.8 小 结 


物理 安全 措施 用 以 保护 计算 机 网 络 设备 ,设施 以 及 其 他 介质 免 遭 地 震 、 水 灾 、 火 灾 、 电 磁 
污染 等 环境 事故 以 及 人 为 操作 失误 或 错误 及 各 种 计算 机 犯罪 行为 导致 的 破坏 ,是 信息 系统 
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安全 的 基础 。 广 义 的 物理 安全 主要 涉及 设备 安全 、 环 境 安 全 、 媒 体 安全 和 系统 安全 ,设备 安 
全 主要 是 指 设备 的 防盗 , 防 毁 , 防 电磁 信息 泄露 \ 防 线路 截获 、 抗 电磁 干扰 ; 环境 安全 的 主要 
目的 是 保护 信息 系统 免 受 水 、 电 、 有 害 气 体 、 地 震 、 雷 击 和 静电 的 危害 ; 介质 安全 的 主要 目的 
是 保护 存储 在 介质 上 的 信息 ,包括 介质 的 防 资 .介质 的 防 毁 ,如 防 霉 和 防 砸 等 ; 系统 安全 是 
指 为 保证 信息 系统 的 安全 可 靠 运行 ,降低 或 阻止 人 为 或 自然 因素 从 物理 层面 对 信息 系统 保 
密 性 完整 性 .可 用 性 带 来 的 安全 威胁 ,从 系统 的 角度 采取 的 适当 安全 措施 。 可 靠 性 是 衡量 
信息 安全 的 主要 指标 ,为 了 提高 系统 可 靠 性 可 采用 避 错 、 容 错 、 容 灾 备 份 技术 。 





习 题 


LL 简称 为 TEMPEST (Transient ElectroMagnetic Pulse Emanations 
Standard Technology) 技 术 。 

2. 提高 系统 可 靠 性 的 方法 有 和 

3. 物理 安全 包括 5 和 

4. 环境 安全 面临 的 安全 威胁 有 和 等 。 

5. 容错 技术 包括 y a 和 

6. 按照 建立 容 灾 系统 目标 的 不 同 , 容 灾 备 份 系统 可 以 分 为 两 种 ,分 别 是 
和 

7. 用 于 量化 描述 灾难 恢复 目标 的 最 常用 的 恢复 目标 指标 是 和 

8. 硬件 元 余 有 三 种 基本 形式 ,分 别 是 和 

9. 软件 容错 技术 的 方法 主要 有 和 

二 、 简 答题 

1. 环境 可 能 对 计算 机 安全 造成 哪些 威胁 ? 如 何 防护 ? 

2. 计算 机 哪些 部 件 容易 产生 辐射 ?如何 防护 ? 

3. TEMPEST 技术 的 主要 研究 内 容 是 什么 ? 

4. 计算 机 设备 防 泄漏 的 主要 措施 有 哪些 ? 它们 各 自 的 主要 内 容 是 什么 ? 

5. 为 了 保证 计算 机 安全 稳定 地 运行 ,对 计算 机 机 房 有 哪些 主要 要 求 ? 机 房 的 安全 等 级 
有 哪些 ? 根据 什么 因素 划分 ? 

6. 灾难 恢复 的 指标 是 什么 ,分 别 代 表 什 么 含义 ? 

7. 国际 上 如 何 划分 灾难 恢复 的 等 级 ? 

8. 按照 建立 容 灾 系统 目标 的 不 同 , 容 灾 备 份 系统 可 以 分 为 几 种 ,分 别 适用 于 什么 场合 ? 




















第 4 章 身份 认证 


身份 认证 是 信息 系统 的 第 一 道 安全 防线 ,其 目的 是 确定 用 户 的 合法 性 ,阻止 非法 用 户 访 
问 系统 。 身 份 认证 对 确保 信息 系统 和 数据 的 安全 是 极其 重要 的 ,可 以 通过 验证 用 户 知道 什 
么 、 用 户 拥 有 什么 、 用 户 的 生理 特征 等 方法 来 进行 用 户 的 身份 认证 。 

4.1 节 给 出 了 身份 认证 的 定义 和 主要 的 认证 方式 ,4. 2 节 介 绍 了 常用 的 口令 认证 机 制 并 
分 析 了 该 机 制 存在 的 安全 隐患 和 相应 的 增强 机 制 ,4. 3 节 介 绍 了 一 次 性 口令 认证 的 原理 和 
实现 机 制 ,4. 4 节 介绍 了 智能 卡 认证 方式 ,详细 介绍 了 USB Key 认证 原理 ,4.5 节 简 要 介绍 了 
基于 生物 特征 的 认证 方式 ,4.6 节 介绍 了 三 种 身份 认证 协议 ,4.7 节 简 要 介绍 了 零 知 识 证 明 。 


4.1 概 述 


身份 认证 是 验证 主体 的 真实 身份 与 其 所 声称 的 身份 是 否 相符 的 过 程 , 它 是 信息 系统 的 
第 一 道 安全 防线 ,如 果 身 份 认 证 系统 被 攻破 ,那么 信息 系统 所 有 其 他 安全 措施 将 形同虚设 ， 
因此 ,身份 认证 是 信息 系统 其 他 安全 机 制 的 基础 。 

身份 认证 包括 标识 与 鉴别 两 个 过 程 。 标 识 (Identification) 是 系统 为 区 分 用 户 身 份 而 建 
立 的 用 户 标识 符 ,一 般 是 在 用 户 注 册 到 系统 时 建立 ,用户 标 识 符 必 须 是 唯一 的 且 不 能 伪造 。 
将 用 户 标识 符 与 用 户 物理 身份 联系 的 过 程 称 为 鉴别 (Authentication) ,鉴别 要 求 用 户 出 示 能 够 
证 明 其 身份 的 特殊 信息 ,并 且 这 个 信息 是 秘密 的 或 独一无二 的 ,任何 其 他 用 户 都 不 能 拥有 它 。 

【 例 4-1】 用 户 Alice 在 某 信息 系统 中 的 标识 符 为 abtoklas, 跟 用 户 标识 符 相 关 的 认证 
信息 是 用 户口 令 , 该 口令 存储 在 信息 系统 中 ,只 有 Alice 和 系统 知道 ,如 果 没 有 人 能 获取 或 
猜测 Alice 的 口令 ,那么 标识 符 和 密码 的 组 合 可 以 认证 用 户 的 身份 。 

常见 的 身份 认证 方式 有 以 下 几 种 : 

(1) 利用 用 户 所 知道 的 东西 (Something the User Knows) ,如 口令 、PIN 码 或 者 回答 预 
先 设置 的 问题 。 

(2) 利用 用 户 所 拥有 的 东西 (Something the User Possesses) ,如 智能 卡 等 物理 识别 
设备 。 

(3) 利用 用 户 所 具有 的 生物 特征 (Something the User is or How He/She Behaves) ,如 
指纹 、 声 音 、 视 网 膜 扫 描 ,DNA 等 。 

这 几 类 身份 认证 方式 各 有 利 吏 。 第 一 类 方法 最 简单 ,系统 开销 小 ,但 是 最 不 安全 ; 第 二 
类 安全 性 比 第 一 类 高 ,但 是 认证 系统 相对 复杂 ; 第 三 类 的 安全 性 最 高 ,但 是 涉及 更 复杂 的 算 
法 和 实现 技术 。 前 两 类 身份 认证 技术 起 步 较 早 ,目前 相对 成 熟 , 应 用 也 比较 广泛 ,第 三 类 技 
术 由 于 它 在 安全 性 上 的 优势 正在 迅速 发 展 。 

一 般 情况 下 ,可 以 通过 多 个 因素 (Multi-Factor) 共 同 鉴 别 用 户 身份 的 真 伪 ,例如 我 们 在 
银行 ATM 机 上 取款 需要 插入 银行 卡 , 同 时 需要 输入 银行 卡 密码 ,这 就 采用 了 双 因 素 认证 ， 
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鉴别 的 因子 越 多 ,鉴别 真 伪 的 可 靠 性 就 越 大 。 当 然 , 在 设计 鉴别 机 制 时 需要 考虑 认证 的 方便 
性 和 性 能 等 综合 因素 。 
下 面 逐 一 讨论 以 上 三 种 形式 的 身份 认证 技术 。 


4.2 基于 口令 的 认证 


4.2.1 口令 认证 过 程 


口令 是 通信 双方 预先 约定 的 秘密 数据 ,基于 口令 的 认证 方式 是 最 常用 的 一 种 身份 认证 
技术 ,这 种 认证 方法 简单 易 行 ,不 需 投 入 太 多 就 可 以 实现 ,广泛 应 用 于 操作 系统 、 网 络 、 数 据 
库 和 应 用 程序 中 。 

在 口令 认证 中 ,用 户 事 先 在 服务 器 上 进行 注册 ,建立 自己 的 用 户 账号 ,包括 用 户 标 识 符 
和 口令 ,这 些 信息 存储 在 服务 器 口令 表 中 ,只 有 用 户 自己 和 服务 器 知道 ,通常 情况 下 ,只 要 用 
户 保 持 口 令 的 保密 性 , 非 授 权 用 户 就 无 法 使 用 该 用 户 的 账户 。 图 4. 1 描述 了 口令 认证 的 过 
程 ,用 户 在 登录 界面 输入 用 户 标识 符 和 口令 ,服务 器 在 接收 到 客户 端 认证 请 求 后 , 跟 数 据 库 
口令 表 中 存储 的 信息 进行 比 对 ,如 果 找 到 匹配 项 则 认证 通过 ,否则 返回 认证 失败 信息 。 


服务 器 口令 表 





用 户 登 录 
用 户 名 


= 4 贬 一 mm 一 > 


忘记 密码 注册 | 用 户 
































图 4.1 基于 口令 的 身份 认证 过 程 


图 4. 1 所 示 的 身份 认证 方式 的 优点 是 简单 易 用 ,在 安全 性 要 求 不 高 的 情况 下 易于 实现 ， 
但 是 该 机 制 存 在 严重 的 安全 问题 ,主要 包括 以 下 几 个 。 

1. 口令 质量 不 高 

通常 用 户 为 了 记忆 、 使 用 方便 ,会 采用 与 自己 周围 事物 相关 的 单词 或 数字 作为 口令 ,这 
些 类 型 的 口令 容易 破解 , 常 被 称 为 弱 口 令 ,常见 的 弱 口 令 类 型 有 : 

(1) 用 户 名 或 用 户 名 的 变形 ; 

(2) 电话 号 码 .执照 号 码 等 ; 

(3) 一 些 常见 的 单词 

(4) 生日 ; 

(5) 长 度 小 于 5 的 口令 ; 

(6) 空 口令 或 默认 口令 ; 

(7) 上 述 词 后 加 上 数字 。 

针对 弱 口 令 的 攻击 主要 有 字典 攻击 和 穷 举 攻击 (暴力 破解 )。 
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(1) 字典 攻击 

由 于 大 部 分 人 选用 的 密码 都 是 与 自己 周围 事物 有 关 的 单词 或 数字 ,攻击 者 利用 各 种 手 
段 收集 用 户 可 能 使 用 的 口令 构成 口令 字典 ,借助 于 口令 破解 工具 逐一 尝试 字典 中 的 口令 , 实 
现 口 令 的 破解 。 

【 例 4-2】 密码 字典 是 一 个 字符 串 表 , 表 中 的 每 
一 项 都 是 一 个 可 以 作为 密码 的 字符 串 , 但 不 需要 对 该 
字符 串 做 出 解释 ,所 以 密码 字典 更 像 一 个 词汇 列表 ， 
图 4. 2 就 是 典型 的 密码 字典 的 “庐山 真面目 ”。 

(2) 穷 举 攻击 (暴力 破解 ) 

如 果 把 字符 串 的 全 集 作 为 字典 进行 攻击 称 为 穷 
举 攻击 ,通俗 地 说 就 是 尝试 所 有 可 能 的 口令 ,直到 破 
解 成 功 ,这 是 一 种 最 原始 .最 粗 久 的 方式 ,也 称 为 暴力 
破解 。 当 用 户 的 密码 比较 短 ,很 容易 被 穷 举 。 

【 例 4-3】〗】 在 Windows(Windows NT 和 Windows 
2000/XP) 平台 上 ,口令 文件 是 %i systemroot% 
system32\ config 中 一 个 名 为 "SAM" 的 文件 ; 在 
UNIX/Linux 平 台 上 ,口令 文件 是 /etc/passwd 或 者 /etc/shadow。 一 旦 攻击 者 获得 了 以 上 
信息 ,就 会 尝试 各 种 口令 攻击 工具 来 进行 破解 。 常 用 的 两 个 口令 破解 工具 如 "John the 
Ripper" 和 "Lophtcrack" ,分 别 用 于 破解 UNIX/Linux 系统 和 Windows NT/2000/XP 下 的 
口令 文件 ,这 两 个 口令 破解 工具 的 原理 就 是 字典 攻击 和 穷 举 攻击 。 

2. 口令 明文 存储 

认证 服务 器 端 如 果 采 用 明文 方式 存储 口令 ,一 旦 攻击 者 成 功 访问 数据 库 , 则 可 以 得 到 所 
有 用 户 的 用 户 名 ,口令 信息 。 

【 例 4-4】 2011 年 12 月 21 日 ,中 国 最 大 的 软件 开发 者 技术 社区 CSDN 后 台数 据 库 被 
盗 , 由 于 明文 存储 ,642 万 多 个 用 户 的 账号 .口令 等 信息 被 泄露 。 

3. 口令 嗅 探 和 重 放 攻击 

一 些 信息 系统 对 传输 的 口令 没有 进行 加 密 处 理 , 攻 击 者 可 以 轻易 得 到 口令 的 明文 。 但 
是 即使 口令 经 过 加 密 也 难以 抵抗 重 放 攻 击 ,因为 攻击 者 可 以 将 截获 的 加 密 信息 直接 发 送 给 
认证 服务 器 ,因为 这 些 加 密 信息 是 合法 有 效 的 ,服务 器 同样 也 能 认证 通过 。 

4. 攻击 者 运用 社会 工程 学 、 键 盘 记 录 器 等 获取 口令 





外 words-english. dic -... 人 | 器 风 | 
文件 EE) 编辑 (E) 格式 (0) 查看 (V) 帮助 (EH) 





Ey 
8 
名 
3 

I 





HS%"& 
?NS% Ee 
sse 
Tesne1 


1234qwer 
123abc 








图 4.2 密码 字典 





4.2.2 口令 认证 安全 增强 机 制 


为 此 ,需要 采取 措施 对 口令 认证 机 制 进行 安全 增强 。 

1. 提高 口令 质量 

口令 认证 的 安全 性 很 大 程度 上 取决 于 口令 质量 , 它 涉 及 以 下 几 点 。 

(1) 增加 口令 的 复杂 度 和 长 度 。 

增加 口令 复杂 度 需要 增 大 口令 的 字符 空间 ,口令 的 字符 空间 不 要 仅 限于 常见 的 26 个 小 
写字 母 .0 一 9 十 个 数字 ,要 扩大 到 所 有 可 被 系统 接受 的 字符 ,如 26 个 大 写字 母 ,特殊 字符 
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@、#、%、* 等 ,选用 的 口令 最 好 是 字母 .数字 、 特 殊 字 符 的 组 合 。 同 时 还 需 注意 口令 的 长 

度 ,选择 长 口令 可 以 增加 破解 的 时 间 ,假定 口令 长 度 为 4, 口令 字符 空间 为 95, 则 组 成 的 所 有 

可 能 口令 的 数目 为 95 ,对 于 一 台 处 理性 能 为 每 秒 100 万 条 指令 的 高 性 能 计算 机 来 说 ,采用 

穷 举 攻击 破译 口令 大 约 需 要 2min, 而 当 口 令 长 度 增长 到 6, 采用 同样 的 计算 机 ,破译 时 间 增 

长 到 8 天 ,如 表 4.1 所 示 , 由 此 可 见 ,口令 破解 的 难度 随口 令 长 度 旦 指数 级 增长 。 满 足 复杂 度 

和 长 度 要 求 的 口令 为 强 口令 ,为 了 增强 口令 认证 的 安全 性 ,需要 采用 不 容易 被 破解 的 强 口令 。 
表 4.1 可 通过 键盘 输入 的 字符 分 类 














分 类 个 数 解 释 

小 写字 母 26 abcdefghijklmnopqrstuvwxyz 

大 写字 母 26 ABCDEFGHIJKLMNOPQRSTUVWXYZ 
数字 10 0123456789 
其 他 33 ! @#$%^&* 0)-=_+[{N\|’:”,. <>/?'~ 
总 计 95 











(2) 在 用 户 使 用 口令 登录 时 ,还 可 以 采取 更 加 严格 的 控制 措施 : 

Q@ 登录 时 间 限 制 。 例 如 ,用 户 只 能 在 某 段 时 间 内 才能 登录 到 系统 中 。 

@ 限制 登录 次 数 。 例 如 ,如 果 有 人 连续 多 次 登录 失败 , 则 认证 系统 拒绝 再 次 认证 请 求 ， 
这 样 可 以 防止 字典 攻击 和 暴力 破解 。 

@ 尽量 减少 会 话 透露 的 信息 。 例 如 ,登录 失败 时 不 提示 是 用 户 名 错 还 是 口令 错 ,使 外 
漏 的 信息 最 少 。 

2. 口令 加 密 存储 

采用 明文 方式 存储 口令 有 很 大 风险 ,任何 人 只 要 得 到 存储 口令 的 数据 库 , 就 可 以 得 到 全 
体 合法 用 户 的 口令 。 

目前 常用 的 方法 是 服务 器 口令 文件 中 存储 用 户 名 (标识 符 ) 和 口令 的 散 列 值 , 当 用 户 登 
录 时 ,用 户 输入 口令 z, 系 统计 算 Hash(Cz) ,然后 与 口令 文件 中 相应 的 散 列 值 进行 比 对 ,匹配 
则 允许 登录 ,否则 拒绝 登录 。 

由 于 在 口令 文件 中 存储 的 是 口令 的 散 列 值 ,黑客 即使 得 到 口令 文件 ,通过 散 列 值 想 要 计 
算出 原始 口令 在 计算 上 也 是 不 可 能 的 ,这 就 相对 增加 了 安全 性 。 

3. 口令 加 密 传输 

在 通信 和 链 路 上 ,如 果 口 令 以 明文 传输 ,黑客 可 以 采用 网 络 监听 工具 对 通信 内 容 进 行 网 络 
嗅 探 , 盗 取 传输 的 用 户 名 和 口令 信息 ,为 了 应 对 这 种 网 络 嗅 探 行为 ,可 以 对 传输 的 口令 信息 
进行 加 密 ,例如 利用 散 列 函数 对 传输 的 口令 进行 加 密 处 理 。 

但 是 即使 对 传输 的 口令 进行 加 密 ,攻击 者 仍 可 以 冒充 用 户 身份 。 利 用 截获 的 密 文 信息 ， 
攻击 者 可 以 构造 新 的 登录 请 求 并 将 其 提交 到 同一 服务 器 ,服务 器 不 能 区 分 这 个 登录 请 求 是 
来 自 合 法 用 户 还 是 来 自 攻 击 者 ,这 种 攻击 称 为 重 放 攻 击 。 传 统 的 口令 认证 之 所 以 无 法 抵御 
重 放 攻 击 ,主要 原因 是 通常 使 用 的 计算 机 口令 是 静态 的 ,也 就 是 说 在 一 定时 间 内 是 不 变 的 ， 
而 且 可 重复 使 用 ,这 就 让 攻击 者 有 机 可 乘 , 利 用 截获 的 信息 可 以 重复 登录 ,冒充 用 户 身份 执 
行 非法 操作 。 为 了 解决 这 个 问题 ,需要 采用 一 次 性 口令 技术 (又 称 为 动态 口令 ) ,同一 口令 不 
能 重复 认证 ,即使 攻击 者 截获 了 传输 的 认证 数据 包 , 采 用 重 放 攻 击 再 次 向 服务 器 发 送 , 由 于 
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数据 包 中 的 口令 已 经 被 使 用 过 ,无 法 验证 通过 ,采用 动态 口令 可 以 有 效 地 抵抗 重 放 攻击 。 
4.3 一 次 性 口令 的 认证 


20 世纪 80 年 代 初 ,针对 静态 口令 认证 的 缺陷 ,美国 科学 家 Leslie Lamport 首次 提出 了 
利用 散 列 函数 产生 一 次 性 口令 (One Time Passwd,OPT) 的 思想 , 即 在 用 户 的 每 次 登录 过 程 
中 ,加 入 不 确定 因素 以 生成 动态 变化 的 示 证 信息 ,从 而 提高 登录 过 程 的 安全 性 。 由 贝尔 通信 
研究 中 心 于 1991 年 开发 的 S/KEY 是 一 次 性 口令 的 首次 实现 。 

目前 一 次 性 口令 技术 已 经 得 到 了 广泛 应 用 ,比较 简易 的 实现 有 短信 密码 、 验 证 码 \ 口 令 
卡 等 。 在 短信 密码 中 ,身份 认证 系统 以 短信 形式 发 送 随机 的 6/8 位 密码 到 客户 的 手机 上 , 客 
户 在 登录 或 交易 认证 时 输入 此 动态 密码 ,从 而 确保 系统 身份 认证 的 安全 。 验 证 码 通常 称 为 
全 自动 区 分 计算 机 和 人 类 的 图 灵 测 试 (Completely Automated Public Turing test to tell 
Computer and Humans Apart,CAPTCHA), 是 一 种 主要 区 分 用 户 是 计算 机 和 人 的 自动 程 
序 。 这 类 验证 码 的 随机 性 不 仅 可 以 防止 口令 猜测 攻击 ,还 可 以 有 效 防止 攻击 者 对 某 一 个 特 
定 注册 用 户 用 特定 程序 进行 不 断 的 登录 尝试 ,例如 刷 票 .恶意 注册 、 论 坛 灌水 等 。 

【 例 4-5】 使 用 口令 卡 实现 一 次 性 口令 认证 。 

如 图 4.3 所 示 ,是 应 用 于 网 上 银行 的 口令 卡 , 卡 的 一 面 以 矩阵 的 形式 印 有 若干 字符 串 ， 
初始 时 有 和 覆 膜 。 不 同 的 账号 对 应 的 口令 卡 不 同 ,用 户 在 网 上 银行 进行 对 外 转账 或 缴费 等 支 
付 交易 时 ,网 上 银行 系统 随机 给 出 一 组 口令 卡 坐 标 ,客户 根据 坐标 从 卡片 中 找到 对 应 的 口令 
组 合并 输入 到 网 上 银行 系统 中 ,网 上 银行 系统 据 此 来 对 用 户 进行 身份 鉴别 。 

基于 口令 卡 的 鉴别 过 程 如 下 : 

(1) 认证 端 系统 的 数据 库 中 存放 用 户 的 账号 和 对 应 的 口令 卡 内 容 。 

(2) 用 户 向 认证 端 发 送 认证 请 求 , 该 请 求 中 包含 用 户 标 识 符 信息 。 

(3) 认证 端 检查 用 户 标志 符 是 否 有 效 ,如 果 无 效 , 则 向 用 户 返 回 错误 信息 ,结束 鉴别 过 
程 ,如 果 有 效 , 则 进入 下 一 步 。 

(4) 认证 端 生 成 两 个 随机 坐标 (也 称 挑战 ) ,并 通过 网 络 传输 给 用 户 端 。 

(5) 用 户 根 据 坐 标 利 用 口令 卡 查 出 对 应 的 6 位 口令 ,并 将 查找 的 结果 发 送 给 认证 端 。 

(6) 认证 端 利用 相同 的 口令 卡 验证 用 户 发 送 过 来 的 口令 ,如果 一 致 则 鉴别 通过 ,和 否则 返 
回 鉴别 失败 信息 。 








图 4.3 口令 卡 
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采用 口令 卡 的 认证 方式 ,用 户 每 次 输入 不 同 的 动态 口令 ,防止 了 重 放 攻 击 。 用 户 只 要 保 
管 好 手中 的 口令 卡 , 就 能 较 好 地 确保 资金 交易 的 安全 ,但 是 口令 卡 所 提供 的 一 次 性 口令 是 有 
限 的 ,一 旦 口令 卡 中 的 口令 使 用 完 后 ,需要 重新 换 卡 。 该 方法 对 用 户 端 要 求 比较 低 ,不 要 求 
用 户 端 进行 数据 加 密 , 攻 击 者 经 过 网 络 嗅 探 ,可 重 构 口 令 卡 坐标 数据 ,这 种 认证 方式 安全 系 
数 较 低 ,因此 ,一 般 口令 卡 对 网 上 交易 有 金额 限制 ,如 果 要 进行 大 额 交易 ,建议 使 用 安全 性 更 
强 的 U 盾 之 类 的 口令 令 牌 。 

上 述 一 次 性 口令 产生 机 制 比较 简单 ,动态 口令 数目 有 限 ,并 且 传输 过 程 中 没有 进行 加 密 
处 理 ,更 为 安全 的 一 次 性 口令 是 以 密码 学 为 基础 产生 的 。 根 据 动 态 因素 的 不 同 , 主 要 分 为 两 
种 实现 技术 : 同步 认证 技术 和 异步 认证 技术 。 其 中 同步 认证 技术 又 分 为 基于 时 间 同 步 认 证 
技术 (Time Synchronous) 和 基于 事件 同步 认证 技术 (Event Synchronous); 异步 认证 技术 
即 为 挑战 /应 答 认 证 技术 (Challenge/Response) 。 

1. 基于 时 间 同 步 的 认证 技术 

在 一 次 性 口令 生成 机 制 中 ,时 间 同 步 方 案 原理 较为 简单 ,该 方案 产生 一 次 性 口令 的 动态 
因素 是 登录 时 间 ,为 了 使 服务 端 能 产生 跟 用户 相 同 的 口令 以 验证 用 户 的 身份 ,该 方案 要 求 用 
户 和 认证 服务 器 的 时 钟 必 须 严格 一 致 ,用 户 持 有 称 为 动态 令 牌 (如 图 4.4 所 示 ) 的 专用 硬件 ， 
令 牌 内 置 电源 、 同 步 时 钟 、 秘 密 密 钥 和 机 密 算法 。 动 态 令 牌 根据 


同步 时 钟 和 密 钥 每 隔 一 个 时 间 单 位 (如 lmin) 产 生 一 个 动态 口 O 〇 
令 , 用 户 登 录 时 输入 动态 令 牌 显示 的 当前 密码 发 送 给 认证 服务 


器 ,认证 服务 器 根据 当前 时 间 和 密 钥 副本 采用 相同 的 算法 计算 出 
口令 ,最 后 将 认证 服务 器 计算 出 的 口令 和 用 户 发 送 的 口令 相 比 。 时 +* 劲 态 口令 牌 
较 , 得 出 授权 用 户 的 结论 。 

除了 采用 动态 令 牌 硬件 产生 一 次 性 口令 之 外 , 随 着 手机 的 普及 ,出 现 了 手机 令 牌 方式 ， 
手机 令 牌 是 一 种 手机 客户 端 软 件 , 基 于 时 间 同 步 方式 ,每 隔 30s 产生 一 个 随机 6 位 动态 密 
码 ,口令 生成 过 程 不 产生 通信 及 费用 ,具有 使 用 简单 .安全 性 高 、 低 成 本 无须 携带 额外 设备 
等 优势 ,手机 令 牌 是 3G 时 代 动 态 密码 身份 认证 的 发 展 趋势 。 

时 间 同 步 机 制 具 有 操作 简单 .携带 方便 等 优点 ,使 用 该 方案 的 难点 在 于 需要 解决 好 网 络 
延迟 等 不 确定 因素 带 来 的 干扰 ,使 口令 在 生命 周期 内 顺利 到 达 认 证 系统 。 

2. 挑战 /应 答 (Challenge/Response) 方 式 

应 用 最 广泛 的 一 次 性 口令 实现 方式 是 挑战 /应 答 方案 ,该 方案 的 基本 原理 为 每 次 认证 
时 ,服务 器 产生 一 个 随机 数 ( 又 称 为 挑战 ) 发 送 给 客户 端 ,客户 端 以 该 随机 数 作为 不 确定 因 
素 , 用 某 种 单 向 算法 计算 出 结果 作为 应 答 ,服务 器 通过 验证 应 答 的 有 效 性 来 判断 客户 端 身 份 
的 合法 性 。 最 为 经 典 的 挑战 /应 答 方案 是 S/Key 协议 ,S/Key 口令 认证 方案 分 为 两 个 过 程 : 
注册 过 程 和 认证 过 程 。 注 册 过 程 只 执行 一 次 ,而 认证 过 程 则 在 用 户 每 次 登录 时 都 要 执行 。 

1) S/Key 注册 过 程 

步骤 1: 新 用 户 选择 将 在 服务 器 上 注册 的 用 户 名 ID 口令 PW ,并 提交 给 服务 器 ,服务 器 
为 该 ID 选择 随机 种 子 Seed 和 最 大 迭代 数 Seq, 并 将 Seed 和 Seq 发 送 给 用 户 。 

步骤 2: 用户 收 到 Seed 和 Seq 后 ,对 Seed| |PW 进行 Seq 次 Hash 运算 Hs (Seed|| 
PW) ,并 将 计算 结果 通过 安全 的 信道 发 送 给 认证 服务 器 。 
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步骤 3: 服务 器 收 到 Hss(Seed| |PW) 后 ,将 Hsa(Seed| |PW) 与 对 应 的 用 户 ID 保存 在 
认证 数据 库 , 同 时 将 最 大 和 迭代 数 减 1 保存 。 

在 完成 注册 工作 后 ,用 户 只 需 记 住 其 登录 ID 和 口令 PW 即 可 。 

2) S/Key 认证 过 程 

当 用 户 第 i 次 登录 时 ,在 用 户 登录 的 服务 器 上 当前 保存 的 认证 数据 有 用 户 ID、Hs_i 
(Seed||PW) 和 迭代 次 数 (Seq 一 站 ,第 i 次 登录 认证 过 程 如 下 ,如 图 4.5 所 示 。 

步骤 1: 用 户 发 送 登 录 请 求 ,并 将 ID 发 送 给 服务 器 ,服务 器 从 数据 库 中 取出 相对 应 的 种 
子 Seed 和 迭代 次 数 (Seq 一 六 ,并 将 这 两 个 数据 传送 给 用 户 。 

步骤 2: 用 户 收 到 Seed 和 Seq 一 i 后 ,计算 Hs。_;(Seed||PW) ,并 将 结果 发 送 给 认证 服 
务 器 。 

步骤 3: 服务 器 收 到 认证 数据 后 ,计算 H(Hs。_; (Seed||PW)), 并 与 数据 库 中 保存 的 
Hss_i+i(Seed||PW) 相 比较 。 若 两 者 相同 , 则 认证 通过 ,用 户 成 功 登 录 , 服 务 器 将 收 到 的 
Hses_;(Seed||PW) 替 换 数据 库 中 的 Hs。 ;+ (CSeed|1PW) ,以 便 下 一 次 认证 时 使 用 ,否则 , 认 
证 失败 ,服务 器 拒绝 用 户 的 登录 请 求 。 
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图 4.5 S/Key 认证 过 程 


S/Key 口令 序列 认证 方案 在 认证 过 程 中 只 有 一 次 性 口令 在 网 络 中 传输 一 次 ,所 以 该 方 
案 基 本 能 满足 最 初 的 抵御 被 动 攻击 的 目标 。 但 是 S/Key 口令 认证 方案 存在 “小 数 攻击 ”、 
“协议 破坏 攻击 ”“ 内 部 人 员 攻击 ?等 形式 的 网 络 攻击 。 所 谓 小 数 攻 击 是 当 用 户 向 服务 器 请 
求 认证 时 ,黑客 截取 服务 器 传 来 的 种 子 和 迭代 值 ,并 修改 迭代 值 为 较 小 值 , 假 冒 服务 器 ,将 得 
到 的 种 子 和 较 小 的 迭代 值 发 送 给 用 户 。 用 户 利用 种 子 和 和 迭代 值 计 算 一 次 性 口令 ,黑客 在 此 
截取 用 户 传 来 的 一 次 性 口令 ,并 利用 已 知 的 单 向 散 列 函数 依次 计算 较 大 迭代 值 的 一 次 性 口 
令 , 就 可 以 获得 该 用 户 后 继 的 一 系列 口令 ,进而 在 一 段 时 间 内 冒充 合法 用 户 而 不 被 察觉 ,这 
就 是 小 数 攻击 。 此 外 ,S/Key 口令 序列 认证 方案 在 执行 性 能 方面 还 存在 运算 量 大 、 需 要 多 
次 散 列 计算 、 当 帮 代 次 数 较 小 时 需要 重新 进行 初始 化 等 不 足 。 

当前 挑战 应 答 机 制 的 实现 主要 是 基于 对 称 密码 或 非 对 称 密码 实现 的 ,例如 采用 对 称 密 
码 实现 挑战 应 答 一 次 性 口令 机 制 的 其 基本 工作 工程 如 下 ,如 图 4.6 所 示 。 

(1) 认证 请 求 。 用 户 端 首先 向 认证 端 发 出 认证 请 求 。 
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鉴别 结果 
图 4.6 挑战 /应 答 的 基本 工作 过 程 


(2) 挑战 (或 质询 )。 认 证 端 产 生 一 个 随机 数 X( 称 为 挑战 ) 发 送 给 客户 端 。 同 时 ,认证 
端 根据 用 户 ID 取出 对 应 的 密 钥 ,在 认证 端 用 加 密 引 擎 对 发 送 给 客户 机 的 随机 数 进行 运 
算 , 得 到 运算 结果 Es。 

(3) 应 答 。 客 户 端 程序 利用 用 户 和 认证 端 共 享 的 密 钥 kK 对 发 送 过 来 的 随机 数 进行 加 
密 得 到 运算 结果 Eu ,并 将 此 结果 作为 认证 数据 发 送 给 认证 端 。 

(4) 鉴别 结果 。 认 证 端 比较 Ev、Es 是 否 相同 ,如 果 相 同 则 该 用 户 为 合法 用 户 。 


4.4 基于 智能 卡 的 认证 方式 


利用 用 户 所 拥有 的 东西 进行 身份 认证 相对 复杂 、 成 本 高 ,但 这 种 方法 的 安全 性 也 比较 
高 , 它 需 要 借助 于 一 些 物理 介质 ,如 磁卡 、 智 能 卡 等 。 

磁卡 是 曾经 得 到 广泛 应 用 的 一 种 用 以 证 实 个 人 身份 的 手段 ,由 于 磁卡 仅 有 数据 存储 能 
力 ,而 无 数据 处 理 能 力 , 没 有 对 其 记录 的 数据 进行 保护 的 机 制 , 因 此 伪造 和 复制 磁卡 比较 容 
易 。 随 着 微 处 理 器 的 发 展 ,出 现 了 智能 卡 。 

智能 卡 又 称 CPU 卡 , 是 一 种 组 有 单片机 芯片 的 IC 卡 (Integrated Circuit card) ,在 外 形 
上 , 它 将 一 个 集成 电路 芯片 镶嵌 于 塑料 基 片 中 ,封装 成 卡 的 形式 ,与 覆盖 磁 条 的 磁卡 相似 。 
智能 卡 上 的 单片机 芯片 包含 CPU 、 EPROM、RAM、ROM 和 芯片 操作 系统 (Chip Operating 
System,COS) ,不 仅 具 有 读 写 和 存储 数据 的 功能 ,而 且 能 对 数据 进行 处 理 , 因 此 ,智能 卡 被 
称 为 最 小 的 个 人 计算 机 。 目 前 ,智能 卡 在 许多 应 用 领域 取代 了 磁卡 。 

单 用 智能 卡 作为 用 户 的 身份 凭证 仍 有 不 足 之 处 ,如 果 智 能 卡 丢 失 ,那么 捡 到 卡 的 人 就 可 
以 假冒 真正 的 用 户 。 因 此 需要 额外 的 且 在 智能 卡 上 不 具有 的 信息 进行 辅助 认证 ,这 种 信息 
通常 采用 个 人 识别 号 (Personal Identification Number, PIN)。 在 验证 过 程 中 ,验证 者 不 但 
要 验证 持 卡 人 的 卡 是 真实 的 卡 , 同 时 还 要 通过 PIN 码 来 验证 持 卡 人 的 确 是 他 本 人 。 采 用 这 
种 双 因 素 认证 机 制 进一步 提升 了 身份 认证 的 可 靠 性 。 

智能 卡 体积 小 ,方便 携带 ,可 以 在 任何 地 点 进行 电子 交易 ,智能 卡 的 读 卡 器 也 越 来 越 普 
遍 , 有 USB 型 的 ,也 有 PC 型 的 ,在 Windows 终端 上 也 可 以 设置 智能 卡 插 槽 。 

目前 在 网 上 银行 中 采用 的 高 级 别 安全 工具 USB Key 是 当前 比较 流行 的 智能 卡 身份 认 
证 方式 。USB Key 结合 了 现代 密码 学 技术 .智能卡 技术 和 USB 技术 ,是 新 一 代 身份 认证 产 
品 , 具 有 以 下 特点 。 

(1) 双 因 素 认证 。 

每 一 个 USB Key 都 具有 硬件 PIN 码 保护 ,用 户 只 有 同时 取得 USB Key 和 用 户 PIN 码 ， 
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才能 登录 系统 。 

(2) 带 有 安全 存储 空间 。 

USB Key 具有 8 一 128KB 的 安全 数据 存储 空间 ,可 以 存储 数字 证 书 、 用 户 密 钥 等 秘密 
数据 ,对 该 空间 的 读 写 操作 必须 通过 程序 实现 ,用 户 无 法 直接 读 取 , 且 用 户 私 钥 是 无 法 导出 
的 ,杜绝 了 复制 用 户 数字 证 书 或 身份 信息 的 可 能 性 。 

(3) 硬件 实现 加 密 算法 。 

USB Key 内 置 CPU 或 者 智能 卡 芯 片 , 可 以 实现 PKI 体系 中 使 用 的 数据 签名 、 加 解密 等 
各 种 算法 ,加 解密 运算 在 USB Key 内 进行 ,保证 了 用 户 密 钥 不 会 出 现在 计算 机 内 存 中 ,从 而 
杜绝 了 用 户 密 钥 被 黑客 截取 的 可 能 性 。 

USB Key 身份 认证 系统 的 模式 有 以 下 几 种 : 

(1) 基于 挑战 -应 答 的 双 因素 认证 方式 。 

先 由 客户 端 向 服务 器 发 出 一 个 验证 请 求 ,服务 器 接收 到 此 请 求 后 生成 一 个 随机 数 ( 挑 
战 ) 并 通过 网 络 传输 给 客户 端 ,客户 端 将 收 到 的 随机 数 通过 USB 接口 提供 给 智能 卡 的 计算 
单元 ,由 计算 单元 使 用 该 随机 数 与 存储 在 安全 存储 空间 中 的 密 钥 进行 运算 得 到 一 个 结果 (应 
答 ) 作 为 认证 证 据 传 给 服务 器 。 与 此 同时 ,服务 器 也 使 用 该 随机 数 与 存储 在 服务 器 数据 库 中 
的 该 客户 密 钥 进行 相同 运算 ,如果 服 务 器 的 运算 结果 与 客户 端 回 传 的 响应 结果 相同 , 则 认为 
客户 端 是 一 个 合法 用 户 。 这 种 模式 的 挑战 /应 答 认 证 方式 只 能 对 客户 端的 身份 进行 认证 ,无 
法 实现 对 服务 端的 身份 认证 。 

(2) 基于 数字 证 书 的 认证 方式 。 

随 着 PKI 技术 的 成 熟 , 许 多 应 用 开始 使 用 数字 证 书 进行 身份 认证 与 数字 加 密 。 数 字 证 
书 是 由 权威 公正 的 第 三 方 机 构 即 CA 中 心 签发 的 ,以 数字 证 书 为 核心 的 加 密 技术 ,可 以 对 网 
络 上 传输 的 信息 进行 加 密 和 解密 、 数 字 签 名 ,确保 网 上 传递 信息 的 机 密 性 、 完 整 性 ,以 及 交易 
实体 身份 的 真实 性 、 签 名 信息 的 不 可 否认 性 ,从 而 保障 了 网 络 应 用 的 安全 性 。USB Key 作 
为 数字 证 书 的 存储 介质 ,可 以 保证 数据 证 书 不 被 复制 ,并 可 以 实现 所 有 数字 证 书 的 功能 。 

USB Key 中 预 置 了 加 密 算法 ,摘要 算法 、 密 钥 生 成 算法 等 ,可 利用 密 钥 生成 算法 首先 为 
用 户 生成 一 对 公 / 私 钥 , 私 钥 保存 在 USB Key 中 , 公 钥 可 以 导出 向 CA 申请 生成 数字 证 书 ， 
数字 证 书 也 保存 在 USB Key 中 。 在 进行 客户 端 身份 认证 时 ,客户 端 向 服务 器 发 送 数 字 证 
书 ,服务 端 利用 CA 的 公 钥 验证 数字 证 书 的 真实 性 ,完成 对 客户 端 身份 的 认证 。 客 户 端 可 也 
要 求 服务 端 发 送 数 字 证 书 以 验证 服务 端的 真实 身份 。 

【 例 4-6】 U 盾 , 即 工行 2003 年 推出 的 客户 证 书 USB Key, 是 工商 银行 为 客户 提供 的 
网 上 银行 业务 的 高 级 别 安全 工具 。 该 产品 采用 了 目前 国际 领先 的 信息 安全 技术 ,核心 硬件 
模块 由 CPU 及 加 密 软 辑 .RAM、ROM、EEPROM 和 LI/O 5 部 分 组 成 ,是 一 个 具有 安全 体系 
的 小 型 计算 机 。 除 了 硬件 ,安全 实现 完全 取决 于 技术 含量 极 高 的 智能 卡 芯 片 操作 系统 
(COS) ,该 操作 系统 就 像 DOS、Windows 等 操作 系统 一 样 ,管理 着 与 信息 安全 密切 相关 的 各 
种 数据 、 密 钥 和 文件 ,并 控制 各 种 安全 服务 。 从 技术 角度 看 ,U 盾 是 用 于 网 上 银行 电子 签名 
和 数字 认证 的 工具 ,基于 PKI 技 术 , 采 用 1024 位 非 对 称 密 钥 算法 对 网 上 数据 进行 加 密 、 解 
密 和 数字 签名 ,确保 网 上 交易 的 保密 性 真实 性 、 完 整 性 和 不 可 否认 性 。USB Key 具有 硬件 
真 随机 数 发 生 器 , 密 钥 完全 在 硬件 内 生成 ,并 存储 在 硬件 中 ,能 够 保证 密 钥 不 出 硬件 ,硬件 提 
供 的 加 解密 算法 完全 在 加 密 硬 件 内 运行 。 
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网 上 银行 用 户 发 起 业务 指令 (例如 支付 5000 元 ) 时 ,被 要 求 插入 USB Key, 同 时 输入 与 
之 相对 应 的 PIN 码 进行 身份 验证 ,验证 成 功 后 ,客户 端 计算 机 将 敏感 的 网 上 银行 业务 指令 
传输 到 USB Key 中 ,USB Key 中 的 芯片 操作 系统 先 将 指令 进行 Hash 运算 以 形成 数字 摘 
要 ,同时 用 USB Key 中 的 私 钥 对 数字 摘要 加 密 以 产生 数字 签名 。 另 外 ,客户 端 随 机 产生 
DES 密 钥 ,用 DES 密 钥 对 刚才 生成 的 数字 签名 、 网 上 银行 业务 指令 原文 进行 加 密 ,同时 用 
服务 端的 公 钥 对 DES 密 钥 加 密 ,将 这 两 部 分 加 密 信息 通过 USB 接口 提交 到 客户 端 系 统 , 进 
而 提交 给 网 上 银行 服务 器 系统 。 网 上 银行 服务 器 方 收 到 客户 端 信息 后 ,使 用 自己 对 应 的 私 
钥 解密 得 到 DES 密 钥 ,然后 用 DES 密 钥 解密 得 到 数字 签名 及 指令 ,之 后 用 客户 端 公 钥 验证 
数字 签名 ,可 有 效 防 止 指 令 中 途 被 算 改 ,并 且 能 够 保证 用 户 身 份 不 可 抵赖 性 。 客 户 端 USB 
Key 的 工作 流程 如 图 4.7 所 示 。 


dle 数字 摘要 





























cr 


客户 端 随机 产生 的 DES 密 钥 


发 送 A+B 
Spe 




















用 服务 器 的 
公 钥 加 密 





图 4.7 USB key 工作 流程 


从 技术 上 来 讲 ,USB Key 算得 上 是 目前 最 为 安全 的 网 上 银行 认证 工具 。 当 前 几乎 所 有 
的 网 上 银行 都 采取 这 种 基于 硬件 的 数字 证 书 身份 认证 的 方法 来 保护 用 户 网 上 银行 交易 安 
全 。 不 过 由 于 内 置 了 芯片 ,USB Key 的 制作 成 本 也 相对 较 高 ,一 个 功能 完备 的 USB Key 的 
市 场 价格 大 约 是 50 一 60 元 。 

利用 USB Key 方式 进行 身份 认证 尽管 看 起 来 很 完美 ,但 实际 上 还 存在 一 些 安全 问题 。 
USB Key 认证 系统 主要 存在 以 下 两 个 安全 漏洞 : 一 是 黑客 完全 有 能 力 截 获 从 计算 机 上 输入 
的 静态 PIN 码 ,用 户 没有 及 时 取 走 USB Key 的 时 候 , 黑 客 便 可 利用 PIN 码 来 取得 虚假 认 
证 ,进行 转账 操作 。 二 是 在 用 户 发 出 交易 指令 后 ,通过 USB 接口 传送 到 USB Key 之 前 存在 
一 段 安 全 真空 期 ,传输 过 程 中 的 信息 没有 受到 任何 保护 ,黑客 此 时 可 悄 无 声息 地 算 改 用 户 指 
令 , 而 USB Key 还 会 坚定 地 保护 算 改 后 的 指令 。 交 易 完成 后 ,用 户 才 会 发 现 刚才 转账 的 过 
程 出 现 了 差错 ,这 时 损失 已 经 不 可 挽回 。 


4.5 基于 生物 特征 的 认证 方式 


传统 的 用 户 身份 认证 机 制 有 许多 缺点 ,目前 ,虽然 从 最 早 的 “用 户 名 十 口令 "方式 过 渡 到 
了 最 新 的 在 网 银 中 广泛 使 用 的 USB Key 方 式 , 但 它 仍然 有 许多 缺点 ,首先 需要 随时 携带 智 
能 卡 ,其 次 它 也 容易 丢失 或 失窃 ,补办 手续 烦琐 ,并 且 仍然 需要 用 户 出 具 能 够 证 明 身 份 的 其 
他 文件 ,使 用 很 不 方便 。 直 到 生物 识别 技术 得 到 成 功 应 用 ,身份 认证 机 制 才 真正 回归 到 了 人 
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类 最 原始 的 特性 上 。 基 于 生物 特征 的 认证 技术 具有 传统 的 身份 认证 手段 无 法 比拟 的 优点 。 
采用 生物 鉴别 技术 (Biometrics) ,可 不 必 再 记忆 和 设置 密码 ,使 用 更 加 方便 。 生 物 特 征 鉴别 
技术 已 经 成 为 一 种 公认 的 、 最 安全 的 和 最 有 效 的 身份 认证 技术 ,将 成 为 IT 产业 最 为 重要 的 
技术 革命 。 

基于 生物 特征 的 身份 认证 方式 是 利用 人 体 固有 的 生理 特征 或 行为 特征 来 进行 身份 识别 
或 验证 。 生 理 特 征 与 生 俱 来 ,多 为 先天 性 的 ,如 指纹 .眼睛 虹膜 ,声音 .人 脸 等 ,行为 特征 则 是 
习惯 使 然 , 多 为 后 天 性 的 ,如 笔迹 、 步 态 等 。 这 些 生物 特征 具有 唯一 性 、 稳 定性 和 难以 复制 
性 ,采用 生物 认证 技术 具有 很 好 的 安全 性 、 可 靠 性 和 有 效 性 ,与 传统 的 身份 确认 手段 相 比 , 具 
有 无 法 比拟 的 优点 。 近 几 年 来 ,全 球 的 生物 识别 技术 已 从 研究 阶段 转向 应 用 阶段 ,对 该 技术 
的 研究 和 应 用 如 火 如 茶 , 前 景 十 分 广阔 。 

生物 识别 的 核心 在 于 如 何 获 取 这 些 生物 特征 ,并 将 之 转换 为 数字 信息 ,存储 于 计算 机 
中 ,利用 可 靠 的 匹配 算法 来 完成 验证 和 识别 个 人 身份 。 基 于 生物 特征 的 认证 机 制 的 一 般 过 
程 如 下 : 

(1) 认证 系统 先 对 用 户 的 生物 特征 进行 多 次 采样 ,然后 对 这 些 采样 进行 特征 提取 ,并 将 
平均 值 存放 在 认证 系统 的 用 户 数 据 库 中 。 

(2) 鉴别 时 ,对 用 户 的 生物 特征 进行 采样 ,并 对 这 些 采样 进行 特征 提取 。 通 过 数据 的 保 
密 性 和 完整 性 保护 措施 将 提取 的 特征 发 送 到 认证 系统 ,并 在 认证 系统 上 解密 用 户 的 特征 。 

(3) 比较 步骤 (1) 和 步骤 (2) 的 特征 ,如 果 特 征 匹 配 达到 近似 要 求 , 认 证 系统 向 用 户 返回 
鉴别 成 功 的 信息 ,否则 返回 鉴别 失败 的 信息 。 

与 传统 身份 鉴别 相 比 ,生物 识别 技术 具有 以 下 特点 : 

Q@ 随身 性 : 生物 特征 是 人 体 固有 的 特征 ,与 人 体 是 唯一 绑 定 的 ,具有 随身 性 。 

@ 安全 性 : 人 体 特征 本 身 就 是 个 人 身份 的 最 好 证 明 ,满足 更 高 的 安全 需求 。 

@ 唯一 性 : 每 个 人 拥有 的 生物 特征 各 不 相同 。 

@ 稳定 性 : 生物 特征 如 指纹 、 虹 膜 等 ,不 会 随时 间 等 变化 。 

@ 广泛 性 : 每 个 人 都 具有 这 种 特征 。 

@ 方便 性 : 生物 识别 技术 不 需要 记忆 密码 与 携带 使 用 特殊 工具 ,不 会 遗失 。 

@ 可 采集 性 : 选择 的 生物 特征 易于 测量 。 

基于 生物 特征 的 认证 系统 安全 性 高 ,但 成 本 也 高 。 另 外 ,技术 上 的 发 展 也 证 明 ,这 些 生 
物 特征 在 安全 上 并 不 是 无 懈 可 击 的 。 例 如 有 研究 者 在 2002 年 发 现 可 以 用 凝 胶 铸 成 的 指纹 
模子 来 螨 骗 指 纹 识别 器 。 同 时 生物 认证 系统 并 不 具有 普 适 性 ,例如 人 的 视网膜 图 案 是 独 一 
无 二 的 ,用 视网膜 做 认证 的 确 十 分 可 靠 ,但 是 由 于 需要 使 用 聚光灯 来 获取 独特 的 眼球 后 面 的 
血管 图 ,并 不 是 每 个 登录 系统 的 人 都 愿意 用 一 个 仪器 来 扫描 自己 的 眼睛 ,因为 人 的 肉眼 暴露 
在 这 种 视网膜 扫描 装置 下 会 觉得 很 不 舒服 ,所 以 这 样 的 系统 只 在 高 安全 环境 中 实施 。 





4.6 身份 认证 协议 


在 网 络 中 ,通常 是 服务 器 要 验证 用 户 的 身份 , 称 为 单 向 认证 (One-Way Authentication ) ， 
但 是 为 了 防止 网 络 钓鱼 等 假冒 服务 器 的 现象 发 生 , 客 户 端 有 时 也 需要 验证 服务 器 的 身份 ,这 
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就 需要 进行 双向 认证 (Two-Way Authentication) .下面 依次 介绍 采用 挑战 /应 答 方式 的 认证 
过 程 。 


4.6.1 单 向 认证 


单 向 认证 是 通信 的 一 方 认 证 另 一 方 的 身份 ,例如 服务 器 在 向 用 户 提供 服务 之 前 , 先 要 认 
证 用 户 是 否 是 这 项 服务 的 合法 用 户 ,但 是 不 需要 向 用 户 证 明 自 己 的 身份 , 单 向 认证 可 采取 普 
通 的 口令 认证 ,也 可 用 对 称 密码 或 非 对 称 密码 体制 实现 。 

1. 采用 对 称 密码 体制 实现 单 向 认证 

假设 Bob 要 验证 Alice 的 身份 , Alice 首先 向 Bob 提出 认证 请 求 ,Bob 产生 一 个 随机 数 
Rs 发 送 给 Alice, Alice 用 双方 共享 的 密码 Ks 加 密 该 随机 数 后 发 送 给 Bob,Bob 如 果 能 用 
相同 的 密码 解密 得 到 Rs , 则 Alice 的 身份 得 到 Bob 的 验证 ,因为 密码 Kms 是 Alice 和 Bob 共 
享 的 秘密 ,其 他 任何 人 没有 该 密 钥 就 无 法 构造 出 Re 的 密 文 ,如 图 4. 8 所 示 。 

采用 对 称 密码 体制 进行 双 单 向 身份 认证 的 方式 有 很 多 ,上 例 只 是 其 中 的 一 种 。 
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图 4.8 采用 对 称 密码 体制 实现 单 向 认证 


2. 采用 非 对 称 密码 体制 实现 单 向 认证 

这 里 Bob 要 验证 Alice 的 身份 ,Alice 首先 向 Bob 提出 认证 请 求 ,Bob 产生 一 个 随机 数 
Rs 并 用 Alice 的 公 钥 加 密 后 发 送 给 Alice,Alice 用 私 钥 解 密 得 到 随机 数 后 发 送 给 Bob,Bob 
验证 发 送 过 来 的 随机 数 , 则 Alice 的 身份 得 到 Bob 的 验证 ,如 图 4.9 所 示 。 
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4.9 采用 公 钥 密码 体制 实现 单 向 认证 
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采用 公 钥 密码 体制 进行 单 向 身份 认证 的 方式 有 很 多 ,上 例 只 是 其 中 的 一 种 。 
4.6.2 双向 认证 


双向 认证 需要 通信 双方 互相 认证 对 方 的 身份 ,同样 可 以 采用 普通 的 口令 认证 方式 ,这 里 
主要 讨论 采用 对 称 密 码 体制 和 非 对 称 密码 体制 实现 双向 身份 认证 。 

1. 用 对 称 密码 体制 实现 双向 认证 

Alice 首先 向 Bob 提出 认证 请 求 ,Bob 产生 一 个 随机 数 Rs 发 送 给 Alice,Alice 为 了 同时 
验证 Bob 的 身份 ,也 产生 一 个 随机 数 Rs , 串 接 在 Rs 后 并 用 双方 共享 的 密 钥 KKAs 加 密 , 密 文 
发 送 给 Bob,Bob 由 于 拥有 密 钥 Kas ,可 以 解密 ,如 能 分 解 出 Re , 则 验证 通过 Alice 的 身份 , 同 
时 为 了 验证 自己 的 身份 (也 即 拥有 密 钥 Kas) ,他 将 Ra 、Rs 调换 顺序 串 接 后 用 共享 密 钥 加 密 后 
发 送 给 Alice, Alice 解密 后 如 能 分 离 出 Rs , 则 验证 通过 Bob 的 身份 ,如 图 4. 10 所 示 。 

采用 对 称 密码 体制 进行 双向 身份 认证 的 方式 有 很 多 ,上 例 只 是 其 中 的 一 种 。 
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图 4.10 采用 对 称 密码 体制 实现 双向 认证 


2. 用 公 钥 密码 体制 实现 双向 认证 

Alice 首先 产生 一 个 随机 数 Rs ,用 Bob 的 公 钥 加 密 后 发 送 给 Bob,Bob 接收 到 后 用 自己 
的 私 钥 解 密 得 到 Ra ,产生 一 个 随机 数 Re 串 接 在 RA 后 用 Alice 的 公 钥 加 密 后 发 送 给 Alice， 
Alice 用 自己 的 私 钥 解密 ,如 果 能 分 离 出 Ra 则 验证 通过 Bob 的 身份 ,同时 为 了 验证 自己 的 身份 
将 解密 分 离 出 的 Rs 发 送 给 Bob,Bob 接收 到 之 后 可 以 验证 Alice 的 身份 ,如 图 4. 11 所 示 。 

采用 公 钥 密码 体制 进行 双向 身份 认证 的 方式 有 很 多 ,上 例 只 是 其 中 的 一 种 。 
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4.11 采用 公 钥 密码 体制 实现 双向 认证 
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4.6.3 可 信 的 第 三 方 认证 


可 信 的 第 三 方 CTrusted Third Party) 认 证 也 是 一 种 通信 双方 相互 认证 的 方式 ,但 是 认 
证 过 程 必须 借助 于 一 个 双方 都 能 信任 的 第 三 方 , 一 般 而 言 可 以 是 政府 机 构 或 其 他 可 信赖 的 
机 构 。 当 两 端 欲 进行 通信 时 ,彼此 必须 先 通 过 信任 的 第 三 方 认 证 ,然后 才能 互相 交换 密 钥 ， 
而 后 进行 通信 。 

由 借助 于 信任 第 三 方 的 认证 方式 变化 而 来 的 认证 协议 相当 多 ,各 有 各 的 特色 与 优 缺 点 ， 
其 中 一 个 最 著名 的 例子 就 是 由 美国 麻 省 理工 学 院 提 出 的 Kerberos 协议 。Kerberos 是 在 20 
世纪 80 年 代 中 期 作为 美国 麻 省 理工 学 院 “ 雅 典 娜 计划 ”(Project Athena) 的 一 部 分 开发 的 ， 
有 关 Kerberos 协议 的 具体 内 容 请 参考 网 络 安 全 协议 相关 书籍 。 


4.7 零 知 识 证 明 


通常 的 身份 认证 都 要 求 传输 口令 或 身份 信息 ,如 果 不 透 露 这 些 信息 ,身份 也 能 得 到 证 明 
就 好 了 ,这 就 需要 零 知 识 证 明 技术 (the Proof of Zero Knowledge) 。 

这 里 假设 P 为 示 证 者 ,V 为 验证 者 ,P 试图 向 V 证 明 自 己 知道 某 消息 ,一 种 方法 是 P 说 
出 这 一 消息 使 V 相信 ,这 样 V 也 知道 了 这 一 消息 ,这 是 基于 知识 的 证 明 ; 另 一 种 方法 是 使 
用 某 种 有 效 的 数学 方法 ,使 得 V 相信 他 掌握 这 一 信息 , 却 不 泄露 任何 有 用 的 信息 ,这 种 方法 


称 为 零 知 识 证 明 。 
解释 零 知识 证 明 概 念 的 最 经 典 的 例子 是 1990 A Ng 2 Sy 


年 Louis C. Guillou 和 Jean-Jacques Quisquater 提出 
的 “洞穴 问题 ”", 如 图 4. 12 所 示 , 洞 穴 里 面 有 一 个 秘 y 
密 吕 语 , 只 有 知道 吕 语 的 那些 人 才能 打开 C 和 D 之 4 
间 的 密 门 。C 与 D 之 间 的 横 线 为 一 扇 门 ,P 知道 打 
开 这 扇 门 的 咒语 ,现在 P 要 向 V 证 明 他 知道 这 个 中 
语 ,按照 传统 的 做 法 是 P 把 这 个 咒语 告诉 V, 然 后 V 
用 这 个 咯 语 去 打开 那 扇 门 ,如 果 能 打开 说 明 这 个 加 
语 是 正确 的 ,那么 就 可 以 验证 P 的 身份 。 这 样 做 虽 
然 成 功 地 证 明了 P 的 身份 ,但 是 也 泄露 了 这 个 咒语 ,那么 V 可 以 冒充 P 或 者 V 可 以 把 这 个 
咒语 透露 给 第 三 者 ,从 而 使 得 这 个 系统 存在 安全 隐患 。 

以 下 是 用 零 知 识 证 明理 论 来 证 明 P 的 身份 。 

(1) V 站 在 A 点 ,让 P 进 入 洞 内 ,这 样 保 证 V 不 知道 P 是 从 哪 边 进入 洞 内 的 (从 左边 进 
入 到 达 C 点 ,从 右边 进入 则 到 达 D 点 ) 。 

(2) 当 P 到 达 C 点 或 D 点 以 后 ,V 走 到 B 点 。 

(3) V 向 了 喊叫 ,要 他 从 左 通道 或 右 通 道 出 来 。 

(4) 了 按照 V 的 要 求 从 V 指定 的 方向 出 来 ,如 果 有 必要 他 就 用 咒语 打开 密 门 。 

(5) P 和 V 重复 步骤 (1) 一 (4)2 次。 

若 P 不 知 咒 语 , 只 有 1/2 的 机 会 猜 中 V 的 要 求 ,协议 执行 n 次 , 则 只 有 2 的 机 会 完全 






图 4.12 洞穴 问题 
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猜 中 , 若 x 一 16, 则 若 每 次 均 通过 V 的 检验 , 则 V 受骗 的 机 会 仅 为 1/65 636。 如 果 n 足够 大 ， 
几乎 就 可 以 证 明 P 是 知道 这 个 咒语 的 并 且 V 并 没有 得 到 任何 关于 这 个 咒语 的 信息 。 

最 早出 现 的 零 知 识 身 份 证 明 协 议 是 Feige-Fiat-Shamir 协议 (简称 FFS 协议 ) ,在 Feige- 
Fiat-Shamir 协议 中 ,可 信赖 第 三 方 选 定 m 二 pXg, 其 中 如.d 为 两 个 大 素数 ,m 为 512bit 或 
者 为 1024b。 通 信 双 方 共享 m, 再 由 可 信赖 第 三 方 实施 公 钥 私 钥 的 分 配 ,产生 个 随机 数 
Vi Vi( 要 求 v7! mod m 存在 ,i 二 1,2,…,k), 且 使 w 为 模 wm 的 平方 剩余 , 即 x =v 
(mod m) ,vi 为 公 钥 ,计算 s; 二 Vo mod m,s; 作为 示 证 方 的 私 钥 ( 这 里 P 作为 示 证 方 ,V 作 
为 验证 方 ) 。 

身份 验证 协议 如 下 。 

(1) 用 户 P 取 随机 数 r(r 二 m) ,计算 xz 一 (于 ) mod m, 将 工 发 送 给 V。 

(2) V 发 送 挑 战 信息 串 5 ,5,… ,bi(b; 为 0 或 者 1) 给 P。 


大 
(3) P 接受 挑战 ,算出 y = -> X [党 mod m 作为 应 答 发 送 给 V。 
tl 


(4) V 验证 P 的 身份 ,验证 x = yx? Tw mod m ,如 果 相 等 则 受骗 概率 为 2“。 如 果 不 


相等 ,这 个 验证 过 程 则 终止 。 

P 和 V 可 以 重复 执行 此 协议 ,每 次 以 不 同 的 > 和 4 串 ,执行 完 一 次 验证 过 程 后 P 能 欺骗 
V 的 概率 为 2 “。 

Feige-Fiat-Shamir 协议 需要 经 过 多 次 交互 才能 保证 身份 认证 的 安全 性 ,不 仅 费 时 而 浪 
费 系统 资源 ,随后 又 提出 了 其 他 的 基于 零 知识 证 明 的 身份 认证 协议 ,这 里 不 再 详细 讨论 , 零 
知识 证 明 的 出 现 给 身份 认证 带 来 了 一 个 新 方向 。 


4.8 小 结 


身份 认证 是 验证 主体 的 真实 身份 与 其 所 声称 的 身份 是 否 相 符 的 过 程 , 它 是 信息 系统 的 
第 一 道 安全 防线 。 身 份 认证 方式 主要 有 三 种 : 利用 用 户 所 知道 的 .用 户 所 拥有 的 以 及 利用 
用 户 的 生物 特征 ,三 种 身份 认证 方式 都 有 自身 的 弱点 , 即 口令 可 能 会 被 遗忘 ,智能 卡 可 能 会 
被 偷盗 ,生物 特征 的 实现 代价 高 ,识别 率 相对 较 低 。 为 了 取得 更 高 的 安全 性 ,综合 运用 这 三 
种 认证 方式 的 认证 机 制 称 为 双 因 素 认 证 。 双 因素 认证 已 经 得 到 了 广泛 的 应 用 ,例如 USB 
Key 等 。 


习 题 


一 、 填 空 题 
1. 身份 认证 包括 、 两 个 过 程 。 
2 是 最 常见 的 身份 认证 方式 。 
3. 针对 弱 口 令 的 攻击 主要 有 ， 
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4. 用 来 抵御 重 放 攻 击 。 

5. 网 上 银行 中 采用 的 身份 认证 方式 有 ， 

6. 不 泄漏 秘密 信息 进行 身份 认证 的 技术 称 为 

二 、 选 择 题 

1. Windows NT 和 Windows 2000 系统 能 设置 为 在 几 次 无 效 登 录 后 锁定 账号 ,这 可 以 
防止 % 
A. 木马 B. 暴力 攻击 C. IP 欺骗 D. 缓存 溢出 攻击 


2. 在 以 下 认证 方式 中 ,最 常用 的 认证 方式 是 ( Ne 
A. 基于 账户 名 /口令 认证 B. 基于 摘要 算法 认证 
C. 基于 PKI 认证 D. 基于 数据 库 认 证 


3. 以 下 哪 项 不 属于 防止 口令 猜测 的 措施 ?( ) 
A. 严格 限定 从 一 个 给 定 的 终端 进行 非法 认证 的 次 数 
B. 确保 口令 不 在 终端 上 再 现 
C. 防止 用 户 使 用 太 短 的 口令 
D. 使 用 机 器 产生 的 口令 
三 、 简 答题 
1. 什么 是 字典 攻击 和 重 放 攻 击 ? 什么 是 一 次 性 口令 认证 ? 为 什么 口令 加 密 过 程 要 加 
和 不 确定 因子 ? 
2. 单机 状态 下 验证 用 户 身 份 的 三 种 因素 是 什么 ? 
3. 一 次 性 口令 认证 实现 技术 有 哪些 ? 
4. 简 述 基于 PKI 技术 体系 的 USB Key 认证 原理 。 
5. 自行 设计 一 个 利用 公 钥 密码 体制 实现 双向 认证 的 协议 。 


第 5 音 访问 控制 


访问 控制 是 信息 安全 保障 机 制 的 重要 内 容 , 它 是 实现 数据 保密 性 和 完整 性 机 制 的 主要 手 
段 之 一 。 访 问 控制 是 在 身份 认证 的 基础 上 ,根据 身份 对 提出 的 资源 访问 请 求 加 以 控制 ,其 目的 
是 为 了 保证 网 络 资源 受 控 ,合法 地 使 用 ,用 户 只 能 根据 自己 的 权限 来 访问 系统 资源 ,不 能 越权 访 
问 ,同时 ,访问 控制 也 是 记 账 审计 的 前 提 。 广 义 地 讲 , 所 有 的 计算 机 安全 都 与 访问 控制 有 关 。 

本 章 5. 1 节 介 绍 了 访问 控制 的 概念 和 组 成 要 素 ; 5.2 节 具 体 介 绍 三 种 访问 控制 机 制 , 即 
自主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 机 制 ,详细 介绍 了 自主 访问 控制 的 三 种 
实现 方式 以 及 强制 访问 控制 的 安全 模型 。 





5.1 访问 控制 概述 
5.1.1 访问 控制 机 制 与 系统 安全 模型 


James P. Anderson 在 1972 年 提出 的 引用 监控 器 (The Reference Monitor) 的 概念 是 经 


典 安全 模型 的 最 初 雏 形 , 如 图 5. 1 所 示 。 
Bi 留 
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图 5.1 引用 监控 器 模型 


经 典 安 全 模型 包括 如 下 基本 要 素 : 

(1) 明确 定义 的 主体 和 客体 ; 

(2) 描述 主体 如 何 访问 客体 的 一 个 授权 数据 库 ; 

(3) 约束 主体 对 客体 访问 尝试 的 引用 监控 器 ; 

(4) 识别 和 验证 主体 和 客体 的 可 信子 系统 ; 

(5) 审计 引用 监控 器 活动 的 审计 子 系统 。 

从 图 5. 1 中 可 以 看 出 ,实现 计算 机 系统 安全 的 基本 措施 (安全 机 制 ) 包 括 身份 认证 (识别 
和 验证 ) ,访问 控制 和 审计 。 身 份 认证 是 验证 用 户 的 身份 与 其 所 声称 的 身份 是 否 一 致 的 过 
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程 。 访 问 控制 是 在 主体 身份 得 到 认证 后 ,根据 授权 数据 库 中 预先 定义 的 安全 策略 对 主体 行 
为 进行 限制 的 机 制 和 手段 。 审 计 作 为 一 种 安全 机 制 , 它 在 主体 访问 客体 的 整个 过 程 中 都 发 
挥 作用 ,为 安全 分 析 提 供 了 有 力 的 证 据 支 持 。 本 章 主要 讨论 访问 控制 技术 。 


5.1.2 访问 控制 的 基本 概念 


访问 控制 技术 起 源 于 20 世纪 70 年 代 , 当 时 是 为 了 满足 管理 大 型 主机 系统 上 共享 数据 
授权 访问 的 需要 。 随 着 计算 机 和 网 络 技术 的 发 展 , 访 问 控制 技术 在 信息 系统 的 各 个 领域 得 
到 了 越 来 越 广泛 的 应 用 ,先后 出 现 了 多 种 重要 的 访问 控制 技术 ,如 自主 访问 控制 .强制 访问 
控制 .基于 角色 的 访问 控制 等 。 

访问 控制 常常 以 身份 认证 作为 前 提 , 在 此 基础 上 实施 各 种 访问 控制 策略 来 控制 和 规范 
合法 用 户 在 系统 中 的 行为 ,身份 认证 解决 的 是 “你 是 谁 , 你 是 否 真 的 是 你 所 声称 的 身份 ”, 目 
的 是 阻止 非法 用 户 进 入 系统 ,而 访问 控制 技术 解决 的 是 “你 能 做 什么 ,你 有 什么 样 的 权限 ”， 
目的 是 限制 合法 用 户 的 操作 权限 。 

访问 控制 包括 两 个 重要 的 过 程 ,其 一 是 系统 通过 授权 (Authorization) 设 定 合法 用 户 对 
资源 的 访问 权限 规则 集 ; 其 二 是 根据 预先 设 定 的 规则 对 用 户 访问 某 项 资源 (目标 ) 的 行为 进 
行 控制 ,只 有 规则 允许 时 才能 访问 ,违反 预定 安全 规则 的 访问 行为 将 被 拒绝 。 资 源 可 以 是 信 
息 资源 .处 理 资源 .通信 资源 或 者 物理 资源 ,访问 方式 可 以 是 获取 信息 、 修 改 信息 或 者 完成 某 
种 功能 ,一般 情 况 可 以 理解 为 读 、 写 或 者 执行 。 

访问 控制 是 针对 越权 使 用 资源 的 防御 措施 ,通过 限制 对 关键 资源 的 访问 ,防止 非法 用 户 
的 侵入 或 因为 合法 用 户 的 不 慎 操 作 而 造成 的 破坏 ,从 而 保证 网 络 资源 受 控 \、 合 法 地 使 用 。 访 
问 控制 中 涉及 的 主要 概念 包括 以 下 几 个 : 

1. 主体 (Subject) 

主体 是 指 访问 操作 的 主动 发 起 者 , 它 造成 了 信息 的 流动 和 系统 状态 的 改变 ,主体 可 以 是 
用 户 或 其 他 任何 代理 用 户 行为 的 实体 ,如 进程 ,作业 等 。 

2. 客体 (Object) 


客体 是 被 访问 的 对 象 ,客体 在 信息 流动 中 的 地 位 是 被 动 的 ,处 于 主体 作用 之 下 。 凡 是 可 
以 被 操作 的 对 象 都 可 以 认为 是 客体 ,客体 通常 包括 文件 .目录 消息 程序 、 库 表 等 ,还 可 以 是 
处 理 器 .通信 信道 .时 钟 、 网 络 节点 等 。 

3. 访问 (Access) 


访问 是 使 信息 在 主体 和 客体 之 间 流 动 的 一 种 交互 方式 。 访 问 包 括 读 取 数据 、 更 新 数据 、 
运行 程序 、 发 起 连接 等 。 

4. 访问 控制 策略 

访问 控制 策略 是 主体 对 客体 的 访问 规则 集 , 这 个 规则 集 直接 定义 了 主体 对 客体 的 作用 
行为 和 客体 对 主体 的 条 件 约束 。 访 问 策 略 体现 了 一 种 授权 行为 ,也 就 是 客体 对 主体 的 权限 
允许 ,这 种 允许 不 超越 规则 集中 的 定义 。 

访问 控制 策略 的 制定 需要 考虑 以 下 原则 : 

1) 最 小 特权 原则 

最 小 特权 原则 是 指 主体 执行 操作 时 ,按照 主体 所 需 权利 的 最 小 化 原则 分 配给 主体 权利 。 
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最 小 特权 原则 的 优点 是 最 大 限度 地 限制 主体 行为 ,可 以 避免 来 自 突 发 事件 、 错 误 和 未 授权 主体 
的 危险 。 也 就 是 说 ,为 了 达到 一 定 目 的 ,主体 必须 执行 一 定 操作 ,但 他 只 能 做 他 所 被 允许 做 的 。 

2) 最 小 泄露 原则 

最 小 泄露 原则 是 指 主体 在 执行 任务 时 ,按照 主体 所 需 知 道 的 信息 最 小 化 的 原则 分 配给 
主体 权利 。 

3) 多 级 安全 策略 

主客 体 分 配 一 定 的 安全 级 别 ,安全 级 别 通常 包括 绝密 、 秘 密 、 机 密 、 限 制 和 无 级 别 5 级 。 
主客 体 的 数据 流向 和 权限 控制 以 不 允许 信息 从 高 级 别 向 低级 别 流动 为 原则 ,采用 多 级 安全 
策略 可 以 避免 敏感 信息 的 扩散 。 

访问 控制 在 信息 系统 中 的 应 用 非常 广泛 ,例如 对 用 户 的 网 络 接 入 过 程 进行 控制 .操作 系 
统 中 控制 用 户 对 文件 系统 和 底层 设备 的 访问 。 另 外 当 需 要 提供 更 细 粒 度 的 数据 访问 控制 
时 ,可 以 在 应 用 程序 中 实现 基于 数据 记录 或 更 小 的 数据 单元 访问 控制 。 例 如 大 多 数 数据 库 
管理 系统 (如 Oracle) 都 提供 独立 于 操作 系统 的 访问 控制 机 制 ,Oracle 使 用 其 内 部 用 户 数据 
库 , 且 数据 库 中 的 每 个 表 都 有 自己 的 访问 控制 策略 来 支配 对 其 记录 的 访问 。 


5.2 访问 控制 策略 


1985 年 美国 军 方 提出 了 可 信 计 算 机 系统 评估 准则 TCSEC, 其 中 描述 了 两 种 著名 的 访 
问 控制 策略 : 自主 访问 控制 和 强制 访问 控制 。 基 于 角色 的 访问 控制 (RBAC) 由 Ferraiolo 和 
Kuhn 在 1992 年 提出 ,考虑 到 网 络 安全 和 传输 流 , 又 提出 了 基于 对 象 和 基于 任务 的 访问 
控制 。 

各 种 访问 控制 策略 之 间 并 不 相互 排斥 ,现存 计算 机 系统 中 通常 都 是 多 种 访问 控制 策略 
并 存 , 系 统管 理 员 能 够 对 安全 策略 进行 配置 使 其 达到 安全 政策 的 要 求 。 


5.2.1 自主 访问 控制 


自主 访问 控制 (Discretionary Access Control, DAC) 是 指 资源 的 所 有 者 (往往 是 创建 
者 ) ,对 于 其 拥有 的 资源 ,可 以 自主 地 将 访问 权限 分 发 给 其 他 主体 , 即 确定 这 些 主体 对 于 资源 
有 怎样 的 访问 权限 ,是 最 常用 的 访问 控制 机 制 。 在 这 种 访问 控制 机 制 下 ,客体 的 拥有 者 可 以 
按照 自己 的 意愿 精确 指定 系统 中 其 他 用 户 对 其 客体 的 访问 权 , 从 这 种 意义 上 来 说 ,是 “自主 
的 "。Linux、UNIX、Windows NT/SERVER 版 本 的 操作 系统 ,SQL Server、Oracle 等 数据 
库 管理 系统 都 提供 了 自主 访问 控制 的 功能 。 自 主 访问 控制 通常 有 三 种 实现 机 制 , 即 访问 控 
制 矩阵 (Access Control Matrix) ,访问 控制 列表 (Access Control Lists,ACLs) 和 访问 控制 能 
力 表 (Access Control Capabilities Lists,ACCLs) 。 

1. 访问 控制 矩阵 

访问 控制 矩阵 是 最 初 实现 访问 控制 机 制 的 概念 模型 , 它 利 用 二 维和 矩阵 规定 了 任意 主体 
和 任意 客体 间 的 访问 权限 。 矩 阵 中 的 行 代表 主体 的 访问 权限 属性 ,和 抢 阵 中 的 列 代表 客 体 的 
访问 权限 属性 ,矩阵 中 的 每 一 格 表示 所 在 行 的 主体 对 所 在 列 的 客体 的 访问 授权 。 如 表 5. 1 
所 示 ,其 中 Own 表示 所 在 行 主体 是 所 在 列 客体 的 属 主 , 可 以 自主 授予 或 回收 其 他 用 户 对 其 
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拥有 客体 的 访问 权限 , 即 拥有 对 客体 管理 的 权限 ,R 表示 读 操作 ,W 表示 写 操作 。 
表 5.1 访问 控制 矩阵 示例 
Filel File2 File3 File4 
张 三 Own,R,W Own,R,W 
李 四 R Own,R,W Ww R 
玉 五 R,W 及 Own,R,W 














访问 控制 矩阵 清晰 地 描述 了 任意 主体 对 任意 客体 的 访问 权限 ,但 是 ,在 较 大 的 系统 中 ， 
访问 控制 矩阵 将 变 得 非常 巨大 ,而 且 矩 阵 中 的 许多 任务 格 可 能 为 空 ,造成 很 大 的 存储 空间 浪 
费 ,因此 在 实际 应 用 中 ,访问 控制 很 少 利用 和 矩阵 方式 实现 ,目前 大 部 分 系统 实现 的 自主 访问 
控制 是 用 基于 访问 控制 矩阵 的 行 或 列 来 表达 访问 控制 信息 。 

2. 访问 控制 列表 

访问 控制 列表 实际 上 是 按 访问 控制 矩阵 的 列 实施 对 系统 中 客体 的 访问 控制 ,是 从 客体 
角度 进行 设置 的 ` 面 向 客体 的 访问 控制 。 每 个 客体 有 一 个 访问 控制 列表 ,用 来 说 明 有 权 访问 
该 客体 的 所 有 主体 及 访问 权限 ,如 图 5. 2 所 示 。 利 用 访问 控制 列表 ,能 够 很 容易 地 判断 出 对 
于 特定 客体 的 授权 访问 。 


Filel 一 一 张 三 李 四 王 五 





























图 5.2 访问 控制 列表 


由 于 访问 控制 列表 简单 、 实 用 ,虽然 在 查询 特定 主体 能 够 访问 的 客体 时 ,需要 遍历 查询 
所 有 客体 的 访问 控制 列表 , 它 仍然 是 一 种 成 熟 且 有 效 的 访问 控制 实现 方法 ,许多 通用 的 操作 
系统 使 用 访问 控制 表 来 提供 访问 控制 服务 。 

【 例 5-1】 Linux 中 实现 了 访问 控制 列表 的 简略 方式 ,将 系统 中 的 所 有 用 户 划 分 为 三 
类 : 属 主 用 户 、 同 组 用 户 、 其 他 用 户 , 系 统 按 这 三 类 用 户 进行 授权 ,权限 主要 包括 r: 读 ,w: 
写 ,x: 执 行 ,这 样 可 以 使 得 访问 控制 列表 只 需要 9 位 就 可 描述 。 如 某 个 文件 的 访问 控制 列表 
为 “rwxr-x 一 ”, 从 左 往 右 每 三 位 为 一 组 ,第 一 组 *rwx” 表 示 文 件 的 属 主 拥有 可 读 、 可 写 、 可 执 
行 权限 ,第 二 组 “r-x” 表 示 文 件 属 主 的 同 组 用 户 拥 有 读 和 执行 权限 ,第 三 组 “一 ”表示 其 他 用 
户 对 该 文件 没有 访问 权限 。 

3. 访问 能 力 表 

访问 能 力 表 (Access Capabilities List) 实 际 上 是 按 访问 控制 矩阵 的 行 实施 对 系统 中 客 
体 的 访问 控制 ,如 图 5. 3 所 示 。 能 力 (Capability) 是 为 主体 提供 的 ,对 客体 具有 特定 访问 权 
限 的 不 可 伪造 的 标志 , 它 决 定 主体 是 否 可 以 访问 客体 以 及 以 什么 方式 (如 读 、 写 、 修 改 或 运 
行 ) 访 问 客体 。 主 体 可 以 将 能 力 转移 给 为 自己 工作 的 进程 ,在 进程 运行 期 间 , 还 可 以 动态 地 
添加 或 修改 能 力 。 能 力 的 转移 不 受 任何 策略 的 限制 ,所 以 对 于 一 个 特定 的 客体 ,不 能 确定 所 
有 有 权 访 问 它 的 主体 ,利用 访问 能 力 表 实 现 自主 访问 控制 的 系统 并 不 多 。 
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张 三 一 ”| Filel File2 File3 File4 
Own 
R R Ww R 
W 


























图 5.3 访问 控制 能 力 表 


自主 访问 控制 的 最 大 特点 是 自主 , 即 资源 的 拥有 者 对 其 资源 的 访问 策略 具有 决策 权 , 因 
此 是 一 种 限制 比较 弱 的 访问 控制 策略 ,这 种 方式 给 用 户 带 来 灵活 性 的 同时 ,也 带 来 了 安全 隐 
患 。 这 种 机 制 允许 用 户 自 主 地 将 自己 客体 的 访问 操作 权 转 授 给 别 的 客体 ,权力 多 次 转 授 后 ， 
一 且 转 授 给 不 可 信 主 体 ,那么 客体 的 信息 就 会 泄露 。DAC 的 另 一 个 缺点 是 无 法 抵御 特洛伊 
木马 的 攻击 ,木马 窃取 敏感 文件 的 方法 有 两 种 ,一 是 通过 修改 敏感 文件 的 访问 权限 来 获取 敏 
感 信息 ,在 DAC 机 制 下 , 某 一 合法 用 户 可 以 任意 运行 一 段 程序 修改 自己 文件 的 访问 权限 ， 
系统 无 法 区 分 这 是 合法 用 户 的 修改 还 是 木马 程序 的 非法 修改 ; 二 是 躲 在 用 户 程序 中 的 木马 
利用 合法 用 户 身份 读 敏 感 文件 的 机 会 ,把 所 访问 文件 的 内 容 复制 到 入 侵 者 的 临时 目录 下 ,而 
DAC 无 法 阻止 ,因而 无 法 抵挡 特洛伊 木马 的 攻击 。 

【 例 5-2】 假设 用 户 SOS 将 其 重要 信息 存放 在 文件 important. doc 中 ,并且 将 文件 权限 
设置 成 只 有 自己 可 以 读 写 。SPY 是 一 个 恶意 攻击 者 ,试图 读 取 important. doc 文件 的 内 容 ， 
他 首先 准备 好 一 个 文件 pocket. doc, 并 将 其 权限 设置 成 为 SOS: w,SPY:rw, 同 时 设计 一 个 
有 用 的 程序 use_it_please, 该 程序 除了 有 用 部 分 ,还 包含 一 个 木马 。 当 诱 使 SOS 下 载 并 运 
行 该 程序 时 ,木马 会 以 SOS 用 户 的 身份 执行 ,将 important. doc 中 的 信息 写 入 pocket. doc 
文件 ,这 样 SPY 就 窃取 了 important. doc 的 内 容 。 

对 安全 性 要 求 更 高 的 系统 , 仅 采 用 DAC 是 不 够 的 ,需要 采用 更 安全 的 访问 控制 技 
术 一 一 强制 访问 控制 。 


5.2.2 强制 访问 控制 





1. 强制 访问 控制 的 概念 

强制 访问 控制 (Mandatory Access Control, MAC) 是 比 DAC 更 为 严格 的 访问 控制 策 
略 ,最 早出 现在 20 世纪 70 年 代 , 是 美国 政府 和 和 军 方 源 于 对 信息 保密 性 的 要 求 以 及 防止 特 洛 
伊 木 马 攻 击 而 研发 的 。 

与 DAC 相 比 ,强制 访问 控制 不 青 让 众多 的 普通 用 户 完 全 管理 授权 ,而 是 将 授权 归于 系 
统管 理 , 并 确保 授权 状态 的 变化 始终 处 于 系统 的 控制 下 。 在 强制 访问 控制 中 ,每 个 主体 ( 进 
程 ) 和 客体 (文件 ,消息 对 列 、 共 享 存储 区 等 ) 都 被 赋予 一 定 的 安全 属性 ,并 且 安 全 属性 只 能 由 
管理 部 门 (如 安全 管理 员 ) 或 操作 系统 按照 严格 的 规则 进行 设置 , 当 一 个 进程 访问 一 个 客体 
(如 文件 ) 时 ,强制 访问 控制 机 制 通过 比较 进程 的 安全 属性 和 文件 的 安全 属性 来 决定 访问 是 
否 允 许 , 如 果 系 统 判定 拥有 某 一 安全 属性 的 主体 不 能 访问 某 个 客体 ,那么 即使 是 客体 的 拥有 
者 都 不 能 使 该 主体 有 权 访问 客体 。MAC 主要 用 于 保护 敏感 数据 (例如 ,政府 .军队 敏感 文 
件 等 ) 。 

在 系统 中 实现 MAC 时 ,需要 根据 总 体 安全 策略 和 需求 为 系统 中 的 每 个 主体 和 客体 分 
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配 一 个 适当 的 安全 级 别 , 且 安全 级 别 是 不 能 轻易 改变 的 . 它 由 管理 部 门 (如 安全 管理 员 ) 或 由 
操作 系统 自动 按照 严格 的 规则 设置 。 在 MAC 下 ,即使 是 客体 的 拥有 者 ,也 没有 对 自己 客体 
的 控制 权 , 并 且 系统 安全 管理 员 修 改 、 授 予 、 撤 销 主 体 对 客体 的 访问 权 的 管理 工作 ,也 要 受到 
严格 的 审核 与 监控 。 

2. 强制 访问 控制 模型 

1) BLP 模型 

1973 年 ,David Bell 和 Len Lapadula 提出 了 第 一 个 也 是 最 著名 的 安全 策略 模型 Bell- 
LaPadula 安全 模型 ,简称 BLP 模型 ,BLP 模型 是 遵守 军事 安全 策略 的 多 级 安全 模型 ,主要 
用 于 解决 面向 机 密 性 的 访问 控制 问题 ,已 实际 应 用 于 许多 安全 操作 系统 的 开发 中 。 

在 BLP 模型 中 主客 体 的 安全 属性 由 两 部 分 构成 。 

(1) 保密 级 别 ( 又 称 为 敏感 级 别 或 级 别 ): 例如 公开 .秘密 、 机 密 、 绝 密 等 。 

(2) 一 个 或 多 个 范畴 : 该 安全 级 涉及 的 领域 ,例如 陆军 、 海 军 、 空 军 等 。 

因此 一 个 安全 属性 包括 一 个 保密 级 别 、 一 个 范畴 集 ,而 范畴 集 包 含 任意 多 个 范畴 ,安全 
属性 通常 写作 保密 级 后 随 一 个 范畴 集 的 形式 ,例如 {机 密 ; 陆军 ,海军 ,空军 } 。 

在 安全 属性 中 ,保密 级 别 是 线性 排列 的 ,例如 公开 二 秘密 二 机 密 二 绝密 ,范畴 则 是 相互 
独立 和 无 序 的 ,两 个 范畴 集 之 间 的 关系 是 包含 、 被 包含 或 无 关 。 

BLP 模型 有 两 个 基本 规则 。 

(1) 规则 1( 简 单 安全 性 ) : 一 个 主体 对 客体 进行 读 操作 的 必要 条 件 是 主体 的 安全 级 支 
配 客 体 的 安全 级 , 即 主体 的 保密 级 别 不 小 于 客体 的 保密 级 别 ,主体 的 范畴 集 包 含 客体 的 全 部 
范畴 , 即 主体 只 能 向 下 读 。 

(2) 规则 2(* 特性 ): 一 个 主体 对 客体 进行 写 访问 的 必要 条 件 是 客体 的 安全 级 支配 主 
体 的 安全 级 , 即 客体 的 保密 级 别 不 小 于 主体 的 保密 级 别 , 客 体 的 范畴 集 包 含 主体 的 全 部 范 
上 畴 , 即 主 体 只 能 向 上 写 。 

BLP 模型 的 强制 访问 控制 可 以 概括 为 不 允许 “上 读 ， 
下 写 ”, 这 种 规则 是 由 信息 的 保密 性 的 安全 要 求 决定 的 。 
保密 性 要 求 只 有 高 保密 级 的 主体 能 够 读 低 保密 级 客体 的 
内 容 , 否 则 会 造成 高 保密 级 的 客体 的 信息 泄密 ; 反 过 来 ， 
高 保密 级 的 主体 对 低 保密 级 的 客体 进行 写 操作 也 会 造成 
信息 泄密 ,如 图 5.4 所 示 。 

【 例 5-3】 客体 LOGISTRIC 文件 的 敏感 标签 为 
SECRETLVENUS ALPHA], 主 体 Jane 的 敏感 标签 为 SECRETLALPHA], 虽 然 主 体 的 敏 
感 等 级 满足 上 述 读 写 规 则 ,但 是 由 于 主体 Jane 的 类 集合 当中 没有 VENUS, 所 以 不 能 读 此 
文件 ,而 写 则 允许 ,因为 客体 LOGISTIC 的 敏感 等 级 不 低 于 主体 Jane 的 敏感 等 级 , 写 了 以 
后 不 会 降低 敏感 等 级 。 

运用 BLP 模型 的 * 特性 可 有 效 防范 特洛伊 木马。 前面 介绍 过 木马 窃取 敏感 文件 的 方 
法 有 两 种 ,一 是 通过 修改 敏感 文件 的 访问 权限 来 获取 敏感 信息 ,在 DAC 机 制 下 , 某 一 合法 
用 户 可 以 任意 运行 一 段 程序 修改 自己 文件 的 访问 权限 ,系统 无 法 区 分 这 是 合法 用 户 的 修改 
还 是 木马 程序 的 非法 修改 ,但 在 MAC 下 .杜绝 了 用 户 修 改 客体 安全 属性 的 可 能 ,因此 木马 
利用 这 种 方法 窃取 敏感 信息 是 不 可 能 的 ; 二 是 特洛伊 木马 伪装 成 正常 的 程序 ,例如 一 个 小 
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图 5.4 多 级 安全 规则 


120 信息 系统 安全 





游戏 .一 个 小 工具 , 诱 使 用 户 下 载运 行 , 而 实际 当 运 行 带 有 木马 的 程序 时 ,木马 会 利用 合法 用 
户 的 身份 读 取 人 敏感 信息 ,把 所 访问 的 文件 复制 到 入 侵 者 的 临时 目录 下 ,这 在 DAC 机 制 下 是 
完全 可 以 做 到 的 ,然而 在 * 特性 下 ,能 阻止 正在 机 密 安 全 级 上 运行 的 木马 ,把 机 密 信息 写 到 
一 个 低 安全 级 别 的 文件 中 ,因为 机 密级 进程 写 的 每 条 消息 的 安全 级 至 少 是 机 密级 的 。 

基于 BLP 模型 的 MAC 阻止 了 信息 由 高 级 别 的 主 /客体 流向 低级 别 的 主 / 客 体 ,保证 了 
信息 的 机 密 性 ,适用 于 保密 性 要 求 比较 高 的 军事 、 政 府 部 门 和 金融 等 领域 ,但 该 模型 不 能 保 
证 信息 的 完整 性 。 而 在 商业 领域 ,以 加 强 数 据 完整 性 为 目的 的 强制 访问 控制 模型 也 有 广泛 
的 应 用 。 

2) Biba 模型 

对 于 政府 发 布 的 公告 ,允许 所 有 用 户 阅 读 ,但 绝对 不 允许 被 算 改 ,在 这 种 应 用 场合 下 ,更 
强调 数据 的 完整 性 保护 。 

Biba 模型 是 BLP 模型 的 变 体 ,由 Biba 等 人 于 1977 年 提出 , 它 的 主要 目的 是 保护 数据 
的 完整 性 。 

在 Biba 模型 中 ,每 个 主体 和 客体 都 被 分 配 一 个 完整 性 属性 ,类似 于 BLP 模型 ,该 完整 
性 属性 是 由 一 个 完整 性 级 别 和 一 个 范畴 集 构成 的 。Biba 模型 规定 ,信息 只 能 从 高 完整 性 等 
级 向 低 完整 性 等 级 流动 ,就 是 要 防止 低 完整 性 的 信息 “污染 ”高 完整 性 的 信息 。 

Biba 模型 并 未 约定 具体 采用 的 策略 ,而 是 将 策略 分 为 非 自 主 策略 和 自主 策略 两 类 ,在 
每 类 下 给 出 了 一 些 具 体 的 策略 以 适应 不 同 的 需求 ,下 面 简单 介绍 非 自 主 策略 。 

非 自主 策略 是 指 主体 是 否 具 有 对 客体 的 访问 权限 取决 于 主体 和 客体 的 完整 性 级 别 , 具 
体 规则 为 ， 

主体 对 客体 进行 读 访问 的 必要 条 件 是 客体 的 完整 级 不 低 于 主体 的 完整 级 , 即 主体 只 能 
向 上 读 。 

主体 对 客体 进行 写 操作 的 必要 条 件 是 主体 的 安全 级 不 低 于 客体 的 安全 级 , 即 主体 只 能 
向 下 写 。 

3) Dion 模型 

Dion 于 1981 年 提出 了 同时 面向 机 密 性 和 完整 性 的 Dion 模型 ,该 模型 结合 BLP 模型 中 
保护 数据 机 密 性 的 策略 和 Biba 模型 中 保护 数据 完整 性 的 策略 ,模型 中 的 每 一 个 客体 和 主体 
被 赋予 一 个 安全 级 别 和 完整 性 级 别 ,安全 级 别 定义 同 BLP 模型 ,完整 性 级 别 定义 如 Biba 模 
型 ,因此 可 以 有 效 地 保护 数据 的 机 密 性 和 完整 性 。 

强制 访问 控制 是 比 自主 访问 控制 功能 更 强 的 访问 控制 机 制 , 但 是 这 种 机 制 也 给 合法 用 
户 带 来 许多 不 便 。 例 如 ,在 用 户 共享 数据 方面 不 灵活 且 受 到 限制 。 因 此 , 当 敏 感 数据 需 在 多 
种 环境 下 受到 保护 时 ,就 需要 使 用 MAC, 如 需 对 用 户 提供 灵活 的 保护 且 更 多 地 考虑 共享 信 
息 时 , 则 使 用 DAC。 

在 高 安全 级 (TCSEC 标准 的 了 级 ) 以 上 的 计算 机 系统 中 常常 将 自主 访问 控制 和 强制 访 
问 控制 结合 在 一 起 使 用 。 自 主 访问 控制 作为 基础 的 .常用 的 控制 手段 ; 强制 访问 控制 作为 
增强 的 、 更 加 严格 的 控制 手段 。 一 些 客体 可 以 通过 自主 访问 控制 保护 ,重要 客体 必须 通过 强 
制 访 问 控制 保护 。 对 于 通用 型 操作 系统 ,从 用 户 友好 性 出 发 ,一 般 还 是 以 DAC 机 制 为 主 ， 
适当 增加 MAC 控制 ,目前 流行 的 操作 系统 (如 Windows、UNIX、Linux) .数据库 管理 系统 
(SQL Server、Oracle) 均 属于 这 种 情况 。 
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5.2.3 基于 角色 的 访问 控制 


1. 概述 

MAC 和 DAC 属于 传统 的 访问 控制 模型 ,通常 为 每 个 用 户 赋 予 对 客体 的 访问 权限 规则 
集 , 如 果 系统 中 用 户 数量 众多 , 且 系 统 安全 需求 处 于 不 断 变 化 中 ,就 需要 进行 大 量 烦琐 的 授 
权 操作 ,系统 管理 员 的 工作 将 变 得 非常 繁重 ,更 主要 的 是 容易 发 生 错 误 ,造成 安全 漏洞 。 

在 现实 的 工作 中 , 绝 大 多 数 情况 并 不 是 针对 每 个 人 设 定 其 工作 职责 ,而 是 根据 这 个 人 在 
工作 单位 中 所 承担 的 角色 设 定 其 工作 职责 的 ,例如 医院 包括 医生 护士 药剂 师 等 角色 ,而 银 
行 则 包括 出 纳 员 会计, 行 长 等 角色 ,用 户 的 职责 完全 由 其 承担 的 角色 来 决定 , 当 其 承担 的 角 
色 发 生 改变 ,其 职责 也 会 随 之 改变 。 信 息 系统 是 现实 世界 的 反映 ,因而 在 信息 系统 中 一 个 用 
户 所 能 访问 资源 的 情况 应 该 随 着 用 户 在 系统 中 角色 的 改变 而 改变 。 

基于 角色 的 访问 控制 (Role-Based Access Control, RBAC) 是 20 世纪 90 年 代 NIST 
(National Institute of Standards and Technology) 提 出 的 访问 控制 策略 ,这 种 技术 能 够 减少 
授权 管理 的 复杂 性 、 降 低 管理 开销 ,而 且 还 能 为 管理 员 提 供 一 个 比较 好 的 实现 复杂 安全 政策 
的 环境 。 目 前 这 一 访问 控制 模型 已 被 广 为 接 受 。 

RBAC 中 的 基本 元 素 包 括 用 户 、 角 色 和 权限 ,RBAC 的 核心 思想 是 将 访问 权限 分 配给 一 
定 的 角色 ,用 户 通 过 饰演 不 同 的 角色 获得 角色 所 拥有 的 权限 。 所 谓 角色 (Role) 是 一 个 或 一 
群 用 户 在 组 织 内 可 执行 的 操作 的 集合 。 用 户 通过 角色 与 相应 的 访问 权限 相 联系 ,用 户 权限 
是 其 所 拥有 角色 权限 的 并 集 ,脱离 了 角色 用 户 将 不 存在 任何 访问 权限 。 角 色相 当 于 工作 部 
门 中 的 岗位 、 职 位 或 分 工 。 一 个 角色 可 以 有 多 个 权限 (对 多 个 资源 的 访问 权 ); 一 个 角色 可 
以 对 应 多 个 用 户 ( 相 当 于 一 个 岗位 可 以 有 多 个 职员 )。 

【 例 5-4】 在 学 院 教务 系统 中 ,假设 用 户 有 学 生 Studl,Stud2,Stud3,…,Studj ,有 教师 
Tchl,Tch2,Tch3…Tchi, 有 教务 管理 人 员 Mngl,Mng2,.Mng3.…,Mng&, 用 户 数 量 众 多 ， 
在 为 用 户 授 权时 ,可 以 定义 如 下 角色 ,TchMN== {查询 成 绩 、 上 传 所 教 课程 的 成 绩 }, Stud 
MN 二 {查询 成 绩 \ 反 映 意 见 } ,MngMN 二 {查询 ,修改 成 绩 、 打 印 成 绩 清单 ) ,为 用 户 分 配 相应 
的 角色 ,一 旦 某 个 用 户 成 为 某 角色 的 成 员 , 则 此 用 户 可 以 完成 所 具有 的 职能 。 

角色 由 系统 管理 员 定 义 , 角 色 成 员 的 增 减 也 只 能 由 系统 管理 员 来 执行 , 即 只 有 系统 管理 
员 有 权 定 义 和 分 配角 色 。 

2. RBAC 模型 

由 于 RBAC 采用 的 很 多 方法 在 概念 上 接近 于 人 们 社会 生活 的 管理 方式 ,所 以 相关 的 研 
究 和 应 用 发 展 得 很 快 。 从 1996 年 发 展 至 今 , 专 家 们 已 经 提出 了 一 系列 RBAC 模型 ,这 里 主 
要 探讨 美国 George Mason 大 学 提出 的 RBAC96 模型 ,该 模型 为 开发 实际 的 应 用 系统 提供 
了 一 个 总 方针 ,并 为 RBAC 用 户 提 供 了 评判 系统 的 标准 ,具体 包括 RBAC0O、RBAC1、 
RBAC2、RBAC3 四 个 模型 ,其 中 : 

RBAC0 一 基本 模型 ,规定 了 任何 RBAC 系统 所 必需 的 最 小 需求 。 

RBAC1 一 在 RBACO0 的 基础 上 增加 了 角色 等 级 ( Role Hierarchies) 的 概念 。 

RBAC2 一 在 RBACO0 的 基础 上 增加 了 限制 (Constraints) 的 概念 。 

RBAC3 一 包含 了 RBAC1 和 RBAC2, 依 传递 性 也 间接 包含 了 RBAC0。 
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美国 国家 标准 和 技术 研究 所 (NIST) 已 经 基于 RBAC96 制定 了 RBAC 标准 , 它 将 
RBAC 主要 分 为 核心 RBAC、 有 和 角色 继承 的 RBAC 和 有 约束 的 RBAC 三 类 。 

1) 核心 RBAC 模型 

核心 RBAC 模型 包括 6 个 基本 集合 : 用 户 集 USERS、 对 象 集 OBJECTS、 操 作 集 
OPERATORS .权限 集 PERMISSIONS、 角 色 集 ROLES 和 会 话 集 SESSIONS, 如 图 5.5 所 示 。 
USERS 中 的 用 户 可 以 执行 操作 ,是 主体 ; OBJECTS 中 的 对 象 是 系统 中 被 动 的 实体 ,主要 包括 
被 保护 的 信息 资源 ; 对 象 上 的 操作 构成 了 权限 ,因此 PERMISSIONS 中 的 每 个 元 素 涉及 来 自 
OBJECTS 和 OPERATORS 的 两 个 元 素 ,ROLES 是 RBAC 的 中 心 ,通过 它 将 用 户 与 特权 联系 
起 来 ,SESSIONS 包括 了 系统 登录 或 通信 进程 和 系统 之 间 的 会 话 。 以 下 具体 给 出 将 上 述 集合 
关联 在 一 起 的 操作 ,通过 这 些 操 作 , 用 户 被 赋予 了 相应 的 权限 或 获得 了 相应 的 状态 。 


OPERATORS Courers) 


PERMISSIONS 












图 5.5 核心 RBAC 中 集合 及 其 关系 


(1) 用 户 分 配 (UA ,User Assignment) 

UACUSERSX ROLES 中 的 元 素 确定 了 用 户 和 角色 之 间 多 对 多 的 关系 ,记录 了 系统 为 
用 户 分 配 的 角色 。 若 对 用 户 u 分 配角 色 r, 则 UA==UAU(Cu,r)。 

(2) 特权 分 配 (PA,Permission Assignment) 

PASPERMISSIONXROLES 中 的 元 素 确定 了 权限 和 角色 之 间 多 对 多 的 关系 ,记录 了 
系统 为 角色 分 配 的 权限 。 若 把 权限 p 分 配给 角色 r, 则 PA=PAU (p,r)。 

(3) 用 户 会 话 

USSEUSERSXSESSIONS 中 的 元 素 确 定 了 用 户 和 会 话 之 间 的 对 应 关系 ,由 于 一 个 用 
户 可 能 同时 进行 多 个 登录 或 建立 多 个 通信 连接 ,这 个 关系 是 一 对 多 的 。 

(4) 激活 /去 活 角色 

若 某 个 用 户 属于 某 个 角色 ,与 之 对 应 的 会 话 可 以 激活 该 角色 ,SRS SESSIONS X 
ROLES 中 的 元 素 确定 了 会 话 与 角色 之 间 的 对 应 关系 ,此 时 该 用 户 拥有 与 该 角色 对 应 的 权 
限 。 用 户 会 话 也 可 以 通过 去 活 操作 终止 一 个 处 于 激活 状态 的 角色 。 

总 之 ,在 RBAC 中 ,系统 将 权限 分 配给 角色 ,用 户 需要 通过 获得 角色 来 得 到 权限 。 

2) 有 角色 继承 的 RBAC 模型 

有 和 角色 继承 的 RBAC 模型 是 建立 在 以 上 核心 RBAC 基础 上 的 , 它 包含 核心 RBAC 的 
全 部 组 件 , 但 增加 了 角色 继承 (Role Hierarchies, RH) 操 作 , 如 图 5.6 所 示 。 如 果 一 个 角色 
rl 继承 另 一 个 角色 r2,rl 也 有 r2 的 所 有 权限 ,并且 有 角色 rl 的 用 户 也 有 角色 r2。 

RBAC 标准 包括 两 种 方式 的 继承 : 一 种 是 受 限 继承 ,一 个 角色 只 能 继承 某 一 个 角色 ,不 
支持 继承 多 个 角色 ; 另 一 种 是 多 重 继承 ,一 个 角色 可 以 继承 多 个 角色 ,也 可 以 被 多 个 角色 继 
承 。 这 样 , 角 色 的 权限 集 不 仅 包括 系统 管理 员 授 予 该 角色 的 权限 ,还 有 其 通过 角色 继承 获得 
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图 5.6 有 角色 继承 的 RBAC 中 集合 及 其 关系 


的 权限 ,而 对 应 一 个 角色 的 用 户 集 不 仅 包括 系统 管理 员 分 配 的 用 户 , 还 包括 所 有 直接 或 间接 
继承 该 角色 的 其 他 角色 分 配 的 用 户 。 

3) 有 约束 的 RBAC 模型 

有 约束 的 RBAC 模型 通过 提供 职责 分 离 机 制 进一步 扩展 了 以 上 有 角色 继承 的 RBAC 
模型 ,如 图 5.7 所 示 。 职 责 分 离 是 有 约束 的 RBAC 模型 引入 的 一 种 权限 控制 方法 ,其 目的 
是 为 了 防止 用 户 超越 其 正常 的 职责 范围 ,例如 在 银行 业务 中 ,授权 付款 与 实施 付款 应 该 是 分 
开 的 职能 操作 ,否则 可 能 发 生 欺骗 行为 ,职责 分 离 主要 包括 静态 职责 分 离 和 动态 职责 分 离 。 


天 
OPERATORS 


PERMISSIONS 





图 5.7 有 约束 的 RBAC 中 集合 及 其 关系 


(1) 静态 职责 分 离 

静态 职责 分 离 (Statistic Separation of Duty,SSD) 对 用 户 分 配 和 角色 继承 引入 了 约束 。 
如 果 两 个 角色 之 间 存 在 SSD 约束 ,那么 当 一 个 用 户 分 配 了 其 中 一 个 角色 后 ,将 不 能 再 获得 
另 一 个 角色 , 即 存在 排他 性 。 由 于 一 个 角色 被 继承 将 使 它 拥 有 继承 它 的 其 他 角色 的 全 部 用 
户 , 如 果 在 SSD 之 间 的 角色 存在 继承 关系 ,将 会 违反 前 述 的 排他 性 原则 ,因此 ,不 能 在 已 经 
有 SSD 约束 关系 的 两 个 角色 之 间 定 义 继承 关系 。 

(2) 动态 职责 分 离 

动态 职责 分 离 (Dynamic Separation of Duty,DSD) 引 入 的 权限 约束 作用 于 用 户 会 话 激 
活 角色 的 阶段 ,如 果 两 个 角色 之 间 存 在 DSD 约束 关系 ,系统 可 以 将 这 两 个 角色 都 分 配给 一 
个 用 户 ,但 是 ,该 用 户 不 能 在 一 个 会 话 中 同时 激活 它们 。 

3. RBAC 的 特点 和 应 用 优势 

RBAC 具有 以 下 几 大 特点 : 

(1) 便于 授权 管理 。RBAC 将 权限 与 角色 关联 起 来 ,用 户 的 授权 是 通过 赋予 相应 的 角 
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色 来 完成 的 。 当 用 户 的 职责 变化 时 只 需要 改变 角色 即 可 改变 其 权限 ; 当 组 织 的 功能 变化 或 
演进 时 , 则 只 需 删 除 角 色 的 旧 功 能 、 增 加 新 功能 ,或 定义 新 角色 ,而 不 必 更 新 每 一 个 用 户 的 权 
限 设置 。 这 极 大 地 简化 了 授权 管理 ,降低 了 授权 管理 的 复杂 度 。 

(2) 便于 实施 职责 分 离 。 通 过 定义 角色 约束 ,可 以 防止 用 户 超越 其 正常 的 职责 范围 ,有 
效 地 实现 职责 分 离 。 

(3) 便于 实施 最 小 权限 原则 。 最 小 特权 是 指 用 户 所 拥有 的 权力 不 能 超过 他 执行 工作 所 
需 的 权限 。 实 现 最 小 特权 原则 ,需要 分 清 用户 的 工作 职责 ,确定 完成 该 工作 的 最 小 权限 集 ， 
然后 把 用 户 限 制 在 这 个 权限 集 范 围 之 内 。 一 定 的 角色 就 确定 了 其 工作 职责 ,而 角色 所 能 完 
成 的 操作 蕴含 了 其 完成 工作 所 需 的 最 小 权限 。 用 户 要 访问 信息 首先 必须 具有 相应 的 角色 ， 
用 户 无 法 绕 过 角色 直接 访问 信息 。 

正 是 由 于 RBAC 具有 灵活 性 方便 性 和 安全 性 的 特点 ,目前 在 大 型 数据 库 管 理 系统 的 
权限 管理 中 得 到 了 普遍 应 用 ,但 是 ,在 大 型 分 布 式 网 络 环境 下 ,通常 无 法 确 知 网 络 实体 的 身 
份 真实 性 和 授权 信息 ,而 RBAC 无 法 实现 对 未 知 用 户 的 访问 控制 和 委托 授权 机 制 , 从 而 限 
制 了 RBAC 在 网 络 环境 中 的 应 用 。 

虽然 RBAC 已 在 某 些 系统 中 得 到 了 应 用 ,但 RBAC 仍 处 于 发 展 阶段 ,RBAC 的 应 用 仍 
是 一 个 相当 复杂 的 问题 。 


5.3 小 结 


访问 控制 在 身份 认证 的 基础 上 .根据 身份 对 提出 资源 访问 的 请 求 加 以 控制 。 它 是 对 信 
息 系统 资源 进行 保护 的 重要 措施 ,也 是 计算 机 系统 最 重要 和 最 基础 的 安全 机 制 。 访 问 控制 
机 制 主要 包括 自主 访问 控制 机 制 . 强 制 访问 控制 机 制 和 基于 角色 的 访问 控制 机 制 。 自 主 访 
问 控制 是 计算 机 系统 中 实现 最 多 的 访问 控制 机 制 , 其 主要 特征 表现 在 : 主体 可 以 自主 地 把 
自己 所 拥有 客体 的 访问 控制 权限 授予 其 他 主体 或 从 其 他 主体 收回 所 授予 的 权限 ; 而 MAC 
则 根据 客体 的 敏感 级 和 主体 的 许可 级 来 限制 主体 对 客体 的 访问 ,多 用 于 多 级 军用 系统 。 基 
于 角色 的 访问 控制 的 基本 思想 是 将 访问 权限 分 配给 一 定 的 角色 ,用 户 通过 饰演 不 同 的 角色 
获得 角色 所 拥有 的 权限 ,在 网 络 规模 变 大 、 用 户 增多 、 需 求 更 复杂 的 情况 下 ,传统 的 访问 控制 
机 制 已 经 不 能 满足 许多 企业 或 组 织 的 安全 需求 ,基于 角色 的 访问 控制 RBAC 便 明 显 地 显示 
出 其 优越 性 。 


习 题 


一 、 填 空 题 

1. 访问 控制 的 三 要 素 包括 、 5 

2. 文件 的 拥有 者 可 以 决定 其 他 用 户 对 于 相应 的 文件 有 怎样 的 访问 权限 ,这 种 访问 控制 
是 

3. 信息 系统 实现 访问 控制 有 多 种 方式 ,其 中 以 用 户 为 中 心 建立 起 的 描述 访问 权限 的 表 
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格 ,这 种 方式 指 的 是 。 


4. Bell-LaPadula 模型 的 出 发 点 是 维护 系统 的 ,而 Biba 模型 与 Bell-LaPadula 


模型 完全 对 立 , 它 修正 了 Bell-LaPadula 模型 所 忽略 的 信息 的 问题 。 


5. 访问 控制 中 ,访问 的 发 起 者 称 为 ,接受 访问 的 被 动 实体 称 为 
6. 引用 监控 器 模型 中 涉及 到 的 基本 安全 机 制 有 

7. 自主 访问 控制 的 实现 方式 有 
8 
9 














.强制 访问 控制 模型 主要 有 
. 基于 角色 的 访问 控制 中 的 基本 元 素 包 括 
二 、 选 择 题 
1. 下 列 对 访问 控制 影响 不 大 的 是 ( Ns 
A. 主体 身份 B. 客体 身份 
C. 访问 类 型 D. 主体 与 客体 的 类 型 
2. 访问 控制 是 指 确定 ( ) 以 及 实施 访问 权限 的 过 程 。 
A. 用 户 权限 B. 可 给 予 哪些 主体 访问 权利 
C. 可 被 用 户 访 问 的 资源 D. 系统 是 否 遭 受信 侵 


3. 信息 系统 实现 访问 控制 有 多 种 方式 ,其 中 以 用 户 为 中 心 建立 起 的 描述 访问 权限 的 表 


格 , 这 种 方式 指 的 是 (  )。 


是 ( 


A. 访问 控制 矩阵 B. 访问 控制 表 
C. 访问 控制 能 力 表 D. 授权 关系 表 
4. 文件 的 拥有 者 可 以 决定 其 他 用 户 对 于 相应 的 文件 有 怎样 的 访问 权限 ,这 种 访问 控制 
了 
A. 自主 访问 控制 B. 强制 访问 控制 
C. 主体 访问 控制 D. 基于 角色 的 访问 控制 策略 
三 、 简 答题 
1. 什么 是 自主 访问 控制 ? 自主 访问 控制 的 实现 方法 有 哪些 ? 
2. 什么 是 强制 访问 控制 ? 如 何 利 用 强制 访问 控制 抵御 特洛伊 木马 的 攻击 ? 
3. 什么 是 基于 角色 的 访问 控制 技术 ? 它 与 传统 的 访问 控制 技术 有 何不 同 ? 
4. 简 述 访问 控制 的 基本 概念 。 
5. 有 哪 几 种 访问 控制 策略 ? 
6. 访问 控制 策略 制定 可 以 遵循 哪些 原则 ? 
7. 自主 访问 控制 和 强制 访问 控制 可 以 在 一 个 系统 中 共存 吗 ? 
8. 与 传统 的 访问 控制 相 比 ,基于 角色 的 访问 控制 有 哪些 优点 ? 
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操作 系统 是 管理 计算 机 硬 软 件 资源 、 控 制程 序 执行 .改善 人 机 界面 .提供 各 种 服务 ,合理 
组 织 计算 机 工作 流程 ,为 用 户 提供 良好 运行 环境 的 最 基本 的 系统 软件 。 操 作 系 统 在 信息 系 
统 中 占有 特殊 的 重要 地 位 ,所 有 其 他 软件 都 是 建立 在 操作 系统 基础 之 上 的 。 因 此 操作 系统 
的 安全 性 在 计算 机 信息 系统 的 整体 安全 性 中 具有 至 关 重 要 的 作用 ,为 整个 计算 机 信息 系统 
提供 底层 (系统 级 ) 的 安全 保障 。 


6.1 操作 系统 的 安全 问题 


6.1.1 操作 系统 安全 的 重要 性 


计算 机 信息 系统 由 硬件 和 软件 两 部 分 组 成 ,硬件 主要 包括 处 理 器 、 寄 存 器 、 存 储 器 及 各 
种 1/O 设备 ,它们 按照 用 户 需求 接受 和 存储 信息 、 处 理 数 据 并 输出 运算 结果 ,是 软件 运行 的 
物质 基础 。 计 算 机 软件 系统 主要 包括 操作 系统 ,应 用 平台 软件 .应 用 业务 软件 。 其 中 ,操作 
系统 是 对 硬件 的 第 一 层 软 件 扩充 ,用 于 管理 各 类 计算 机 资源 .控制 整个 系统 的 运行 , 它 直 接 
和 硬件 打交道 ,并 为 用 户 提供 接口 。 应 用 平台 软件 主要 包括 编译 程序 数据库 管理 系统 和 其 
他 实用 程序 ,用 于 支持 上 层 应 用 软件 的 开发 和 运行 。 应 用 软件 层 解 决 用 户 特定 的 或 不 同 应 
用 所 需要 的 信息 处 理 问 题 ,如 财务 系统 、 航 空 订 票 系统 等 。 

操作 系统 是 软件 系统 的 核心 ,是 其 他 各 种 软件 的 基础 运行 平台 , 若 没 有 操作 系统 安全 机 
制 的 支持 ,就 不 可 能 具有 真正 的 安全 性 。 同 时 在 网 络 环境 中 ,网 络 的 安全 性 依赖 于 各 主机 系 
统 的 安全 性 ,而 主机 系统 的 安全 性 又 依赖 于 其 操作 系统 的 安全 性 。 因 此 ,从 计算 机 信息 系统 
的 组 成 角度 分 析 ,操作 系统 的 安全 性 在 计算 机 信息 系统 的 整体 安全 性 中 具有 至 关 重 要 的 作 
用 ,操作 系统 为 整个 计算 机 信息 系统 提供 系统 级 的 安全 保障 ,没有 操作 系统 的 安全 性 ,信息 
系统 的 安全 性 是 没有 基础 的 。 


6.1.2 操作 系统 面临 的 安全 问题 


操作 系统 是 一 种 系统 软件 ,不 可 避免 存在 缺陷 ,导致 遭受 各 类 安全 威胁 。 美 国 计 算 机 应 
急 响 应 组 (Computer Emergency Response Term,CERT) 提 供 的 安全 报告 表明 : 计算 机 信 
息 系 统 的 很 多 安全 问题 都 是 源 于 操作 系统 的 安全 性 。 威 胁 操 作 系 统 安 全 的 因素 很 多 ,主要 
有 以 下 几 种 : 

(1) 网 络 攻击 。 常 见 的 网 络 攻击 形式 有 缓冲 区 溢出 攻击 、 拒 绝 服 务 攻击 .ARP 攻击 、 计 
算 机 病毒 、 木 马 等 ,严重 威胁 操作 系统 的 安全 ,例如 ,恶意 代码 (如 Rootkit、 人 逻辑 炸弹 等 ) 可 以 
直接 使 系统 受到 感染 而 崩溃 ,也 可 以 使 应 用 程序 或 数据 文件 受到 感染 ,造成 程序 和 数据 文件 
的 丢失 或 被 破坏 ,严重 的 会 使 系统 瘫痪 或 崩溃 。 
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(2) 隐蔽 信道 (Covert Channel) 。 隐 项 信道 可 定义 为 系统 中 不 受 安全 策略 控制 的 .违反 
安全 策略 的 信息 泄露 路 径 ,一 般 可 分 为 存储 隐蔽 信道 和 时 间 隐 蔽 信道 ,它们 都 是 通过 共享 资 
源 来 传递 秘密 信息 的 ,隐蔽 信道 会 泄露 系统 信息 .破坏 系统 的 机 密 性 。 

(3) 用 户 的 误 操作 。 例 如 ,用 户 无 意 中 删 除了 系统 的 某 个 文件 ,无 意 中 停止 了 系统 的 正 
常 处 理 任务 ,这 样 的 误 操作 会 影响 系统 的 稳定 运行 ,严重 的 会 使 系统 崩溃 。 

一 个 有 效 、 可 靠 的 操作 系统 必须 提供 相应 的 保护 措施 ,消除 或 限制 网 络 攻 击 、 隐 信道 \ 误 
操作 等 对 系统 构成 的 安全 隐患 。 


6.1.3 操作 系统 的 安全 性 设计 


操作 系统 安全 涉及 两 个 重要 的 概念 : 安全 功能 (安全 机 制 ) 和 安全 保证 。 不 同 的 操作 系 
统 所 提供 的 安全 功能 可 能 不 同 , 实 现 相同 安全 功能 的 途径 可 能 也 不 同 。 为 此 ,人 们 制定 了 安 
全 评测 等 级 ,在 安全 等 级 评测 标准 中 ,安全 功能 主要 说 明 各 安全 等 级 所 需 实现 的 安全 策略 和 
安全 机 制 的 要 求 , 而 安全 保证 则 是 描述 通过 何 种 方法 保证 操作 系统 所 提供 的 安全 功能 达到 
了 确定 的 功能 要 求 , 安 全 保证 可 以 从 系统 的 设计 和 实现 、 自 身 安全 ,安全 管理 等 方面 进行 描 
述 , 也 可 以 借助 配置 管理 ,发 行 和 使 用 、 开 发 和 指南 文档 ,测试 和 脆弱 性 评估 等 方面 所 采取 的 
措施 来 确立 产品 的 安全 确信 度 。 

从 安全 功能 和 安全 保证 在 安全 评价 准则 中 的 组 织 方式 来 看 ,美国 TCSEC 标准 将 安全 
功能 和 安全 保证 (有 的 文档 称 为 安全 保障 ) 合 在 一 起 ,共同 将 计算 机 信息 系统 安全 保护 能 力 
从 低 到 高 划分 为 D.C、B、A 四 类 ; 美国 国家 标准 与 技术 协会 和 国家 安全 局 联合 开发 的 联邦 
标准 以 及 欧洲 的 ITSEC 标准 , 则 把 安全 特性 与 保障 能 力 分 离 成 两 个 独立 的 部 分 ; 美 .加 、 
英法 、 德 , 荷 六 国 的 7 个 组 织 联 合 开发 的 公共 准则 CC 标准 也 采用 安全 功能 和 安全 保证 相 
独立 的 理念 , 即 把 一 个 计算 机 安全 产品 应 该 具有 的 安全 特性 与 为 确保 这 些 安全 特性 的 正确 
实现 而 采取 的 安全 措施 作为 两 个 独立 的 内 容 进行 分 别 对 待 。 

我 国 的 GB 17859-1999 的 制定 主要 参考 了 美国 TCSEC 标准 , 同 TCSEC 标准 一 样 ,也 
是 将 安全 功能 和 安全 保证 合 在 一 起 ,共同 对 安全 产品 进行 评价 ,但 在 安全 保证 方面 的 要 求 不 
太 明 显 。GB/T 18336-2001 则 主要 参考 了 国际 标准 CC, 将 安全 功能 和 安全 保证 独立 开 来 ， 
分 别 要 求 ,因此 ,GB 17859 主要 对 安全 功能 进行 了 要 求 ,而 GB/T 18336 则 把 安全 保证 作为 
独立 的 一 部 分 进行 要 求 和 评测 。 

从 安全 功能 角度 ,操作 系统 安全 的 主要 目标 如 下 : 

(1) 标识 系统 中 的 用 户 并 进行 身份 鉴别 。 

(2) 依据 系统 安全 策略 对 用 户 的 操作 进行 存 取 控 制 , 防 止 用 户 对 计算 机 资源 的 非法 
存 取 。 

(3) 监督 系统 运行 的 安全 。 

(4) 保证 系统 自身 的 安全 性 和 完整 性 。 

实现 操作 系统 安全 目标 需要 建立 相应 的 安全 机 制 ,包括 存储 保护 .用 户 标识 与 鉴别 、 访 
问 控制 .最 小 权限 管理 .可 信 路 径 、 安 全 审计 等 。 在 后 续 章节 中 会 详细 介绍 。 

为 了 理解 操作 系统 提供 的 安全 保护 机 制 ,下面 首先 简要 介绍 操作 系统 的 基础 知识 。 
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6.2 操作 系统 基础 知识 


6.2.1 操作 系统 的 形成 和 发 展 


1. 人 工 操作 阶段 

从 计算 机 诞生 到 20 世纪 50 年 代 中 期 的 机 器 属于 第 一 代 计 算 机 ,构成 计算 机 的 主要 元 
件 是 电子 管 ,计算 机 的 运算 速度 慢 , 只 有 几 千 次 / 秒 ,操作 系统 尚未 出 现 。 这 一 时 期 ,完全 由 
人 工控 制程 序 的 装 入 和 执行 ,用 户 首先 用 机 器 语言 和 符号 语言 编制 程序 ,并 将 程序 和 数据 打 
孔 在 卡片 或 纸 带 上 ,利用 卡片 或 纸 带 输入 机 将 程序 和 数据 输入 到 计算 机 ,然后 启动 程序 运 
行 ,程序 员 通过 控制 台 上 的 按钮 .开关 和 和 氟 灯 操纵 和 控制 程序 ,程序 运行 完毕 取 走 计算 结果 。 

这 种 计算 方式 的 缺点 是 : 用 户 独占 全 机 资源 串 行 计算 ,造成 资源 利用 率 不 高 .系统 效率 
低下 ;人工 干预 环节 较 多 ,不 但 极其 浪费 时 间 ,而 且 极 易 出 错 。 

随 着 采用 晶体 管 的 第 二 代 计 算 机 的 出 现 , 计 算 机 的 运算 速度 大 大 提高 ,如 果 仍 采用 手工 
操作 方式 ,将 会 极 大 降低 计算 机 的 运行 效率 。 例 如 ,一 个 作业 在 速度 为 1 千 次 /s 的 计算 机 
上 执行 ,假设 运行 时 间 为 1h, 而 建立 作业 和 全 部 人 工 操作 时 间 需 要 5min, 则 两 者 之 比 为 
12 : 1, 若 该 作业 在 6 万 次 /s 的 计算 机 上 执行 ,运行 时 间 仅 需 1min, 两 者 之 比 变 为 1 : 5, 这 
一 比值 的 变化 说 明了 有 效 机 时 的 惊人 浪费 ,手工 操作 的 低速 度 已 无 法 与 计算 机 的 高 速度 相 
匹配 ,为 了 解决 这 一 矛盾 ,唯一 的 解决 方法 就 是 摆脱 手工 操作 ,实现 作业 之 间 的 自动 过 渡 。 

2. 管理 程序 阶段 

早期 程序 执行 的 每 一 步 都 需要 人 工 干 预 和 辅助 ,导致 大 量 的 计算 机 时 间 被 消耗 ,使 得 极 
其 昂贵 的 硬件 设备 只 能 低 效 使 用 。 由 于 每 个 程序 的 执行 通常 包括 装 和 人 汇编 /编译 、 执 行 、 输 
出 等 几 个 步骤 ,为 了 减少 作业 执行 的 人 工 干 预 ,出 现 了 作业 控制 语言 (Job Control 
Language,JCL) ,利用 作业 控制 语言 描述 对 程序 执行 的 控制 步骤 ,将 作业 控制 ,程序 数据 构 
成 作业 提交 给 计算 机 操作 员 , 待 收集 一 批 作业 后 通过 输入 设备 ( 纸 带 输入 机 或 读 卡 机 ) 存 到 
磁带 上 ,借助 于 一 个 管理 程序 实现 作业 装 入 、 执 行 以 及 作业 之 间 的 自动 切换 ,减少 人 工 操作 
和 干预 ,让 计算 机 尽 可 能 连续 工作 。 管 理 程序 可 以 认为 是 初级 操作 系统 。 这 个 时 期 由 于 系 
统 对 作业 的 处 理 都 是 分 批 进行 的 , 且 内 存 中 始终 只 保留 一 个 作业 , 故 称 为 单 道 批 处 理 。 

3. 多 道 程序 设计 和 操作 系统 的 形成 

在 早期 的 单 道 批 处 理 系统 中 , 主 存 中 仅 有 单个 作业 在 运行 ,CPU 和 其 他 硬件 串 行 工作 ， 
致使 系统 中 仍 有 许多 资源 空闲 ,设备 利用 率 低 。 如 果 能 在 内 存 中 保留 多 个 程序 , 当 某 一 程序 
等 待 外 围 设备 传输 时 ,让 另 一 道 程序 运行 ,就 能 使 CPU 得 到 充分 利用 ,这 就 是 多 道 程 序 设 
计 的 思想 。 在 20 世纪 60 年 代 , 有 两 项 技术 取得 了 突破 性 进展 : 中 断 和 通道 。 所 谓 通 道 , 实 
质 是 一 台 功 能 单一 、 结 构 简单 的 IO 处 理 机 , 它 独立 于 CPU ,并 直接 控制 外 部 设备 与 主机 之 
间 的 信息 传送 。 当 需要 进行 I/O 操作 时 ,CPU 启动 通道 ,之 后 CPU 继续 执行 程序 ,通道 就 
可 以 独立 工作 ,通道 执行 通道 程序 ,完成 外 部 设备 的 启动 .关闭 以 及 信息 传输 等 操作 ,在 传送 
规定 的 数据 后 , 它 向 CPU 发 出 中 断 请 求 ,.CPU 终止 正在 运行 的 程序 ,进行 中 断 处 理 ,处 理 完 
毕 后 ,返回 中 断 点 继续 工作 。 通 道 和 中 断 技术 结合 起 来 ,实现 了 CPU 和 其 他 硬件 设备 的 并 
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行 工 作 ,为 实现 多 道 程序 设计 的 实现 提供 了 基础 。 

多 道 程序 设计 (Multiprogramming) 是 指 允 许多 个 作业 同时 进入 计算 机 系统 的 主 存 并 
启动 交替 计算 的 方法 。 也 就 是 说 , 主 存 中 多 个 相互 独立 的 程序 同时 处 于 开始 和 结束 之 间 , 从 
宏观 上 看 是 并 行 的 ,多 道 程序 都 处 于 运行 过 程 中 ,从 微观 上 看 是 串 行 的 ,各 道 程序 轮流 占用 
CPU 以 交替 执行 。 引 入 多 道 程序 设计 技术 ,可 以 提高 CPU 的 利用 率 ,充分 发 挥 计 算 机 硬件 
的 并 发 性 ,现代 计算 机 系统 都 采用 多 道 程 序 设计 技术 。 将 多 道 程序 技术 引入 批 处 理 系 统 , 就 
成 为 多 道 批 处 理 系统 。 

虽然 多 道 批 处 理 系统 大 大 提高 了 资源 利用 率 , 但 用 户 使 用 计算 机 不 方便 ,无 法 干预 程序 
的 运行 ,不 利于 程序 的 调试 和 排 错 。20 世纪 60 年 代 末 、70 年 代 初出 现 了 分 时 操作 系统 ,并 
得 到 迅速 推广 ,所 谓 分 时 系统 就 是 在 主机 上 连接 多 台 终 端 ,用 户 通 过 自己 的 终端 以 问答 的 方 
式 干 预 程序 运行 ,系统 将 处 理 时 间 划 分 为 小 的 时 间 间 隔 ,轮流 分 给 联机 终端 上 的 作业 ,每 个 
终端 上 的 用 户 请 求 都 能 得 到 快速 响应 ,好 像 用 户 独自 占用 计算 机 系统 一 样 。 批 处 理 系 统 、 分 
时 操作 系统 的 出 现 , 标 志 着 操作 系统 的 正式 形成 。 


6.2.2 操作 系统 的 分 类 


根据 功能 、 特 点 和 使 用 方式 的 不 同 , 可 以 将 操作 系统 分 为 以 下 类 型 : 

(1) 批 处 理 操作 系统 ; 

(2) 分 时 操作 系统 ; 

(3) 实时 操作 系统 ; 

(4) 微机 操作 系统 。 

1. 批 处 理 操作 系统 

批 处 理 操 作 系 统 服务 于 被 称 为 批 (Batch) 的 作业 ,作业 是 把 程序 .数据 连同 作业 说 明 书 
组 织 起 来 的 任务 单位 ,把 批 中 的 作业 预先 输入 作业 队列 ,由 操作 系统 按照 作业 说 明 书 的 要 求 
调度 和 控制 作业 的 执行 ,大 幅度 减少 人 工 干预 ,形成 自动 转 接 和 连续 处 理 的 作业 流 , 由 操作 
员 在 计算 结束 后 把 运算 结果 返回 用 户 。 用 户 在 提交 作业 直至 计算 结果 之 前 ,不 再 和 计算 机 
及 其 作业 交互 。 

早期 批 处 理 的 作业 控制 说 明 使 用 作业 控制 语言 JCL 书写 ,在 现代 操作 系统 中 ,执行 批 
作业 的 控制 流 采 用 文件 形式 表示 ,如 UNIX 中 的 Shell、Windows 中 的 autoexec. bat 文件 ， 
用 户 在 这 类 文件 中 定义 一 系列 操作 系统 命令 ,在 无 用 户 干 预 的 情况 下 自动 、 连 续 地 执行 控制 
文件 ,在 批 作业 完成 后 ,结果 被 打印 输出 并 返回 给 用 户 。 

批 处 理 操 作 系 统 的 缺点 是 作业 的 周转 周期 延长 ,不 具备 交互 计算 的 能 力 ,不 利于 程序 的 
调试 和 排 错 。 

2. 分 时 操作 系统 

允许 多 个 联机 用 户 同时 使 用 一 个 计算 机 系统 进行 交互 式 计算 的 操作 系统 称 为 分 时 操作 
系统 。 其 实现 思路 如 下 : 用 户 在 各 自 的 终端 上 进行 会 话 , 程 序 ,数据 和 命令 均 在 会 话 过 程 中 
提供 ,以 问答 的 方式 控制 程序 的 执行 。 系 统 把 处 理 器 的 时 间 划 分 成 时 间 片 ,轮流 分 配给 各 个 
联机 终端 , 若 时 间 片 完成 则 产生 时 钟 中 断 ,控制 权 转 至 操作 系统 并 重新 进行 调度 。 由 于 调试 
程序 的 用 户 常 常 只 发 送 简短 的 命令 ,这 样 的 请 求 总 能 得 到 快速 响应 ,好 像 用 户 独占 计算 机 系 
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统一 样 ,用户 直 接 控制 程序 的 运行 ,便于 程序 调试 和 排 错 。 

3. 实时 操作 系统 

虽然 多 道 批 处 理 操作 系统 和 分 时 操作 系统 能 够 获得 较 佳 的 资源 利用 率 和 快速 响应 时 
间 ,使 计算 机 的 应 用 范围 日 益 扩 大 ,但 它们 难以 满足 实时 控制 和 实时 信息 处 理 的 需要 ,于 是 
便 产生 了 实时 操作 系统 。 实 时 操作 系统 是 指 当 外 部 事件 或 数据 产生 时 ,能 够 对 其 予以 接收 
并 以 足够 快 的 速度 进行 处 理 , 所 得 结果 能 够 在 规定 时 间 内 控制 生产 过 程 或 对 控制 对 象 做 出 
快速 响应 ,并 控制 所 有 实时 任务 协调 运行 的 操作 系统 。 因 而 ,提供 及 时 的 响应 和 高 可 靠 性 是 
其 主要 特点 。 

在 实时 操作 系统 中 要 有 实时 时 钟 管理 ,以 便 对 实时 任务 进行 实时 处 理 。 系 统 中 通常 存 
在 若干 实时 任务 ,往往 通过 “队列 驱动 ”或 “事件 驱动 ”开始 工作 , 当 系 统 接收 某 个 外 部 事件 之 
后 ,驱动 实时 任务 以 完成 相应 的 处 理 和 控制 。 

4. 微机 操作 系统 

微型 计算 机 的 出 现 引 发 计算 机 产业 革命 ,使 其 进入 社会 生活 的 各 个 领域 ,拥有 巨大 的 使 
用 量 和 最 广泛 的 用 户 群 。 从 20 世纪 70 年 代 中 期 到 80 年 代 早 期 ,微型 计算 机 上 运行 单 用 户 
单 任务 操作 系统 ,如 CP/M、CDOS(Cromenco 磁盘 操作 系统 )、MDOS(Motorola 磁盘 操作 
系统 ) 和 早期 的 MS-DOS(Microsoft 操作 系统 )。 从 20 世纪 80 年 代 中 期 到 90 年 代 初 ,微机 
操作 系统 开始 支持 单 用 户 多 任务 和 分 时 操作 ,其 中 以 MP/M、XENIX 和 Windows 9x 系列 
为 典型 代表 。 

近年 来 ,微机 操作 系统 得 到 进一步 发 展 , 以 UNIX、Windows、OS/2 和 Linux 为 代表 的 
多 用 户 多 任务 微机 操作 系统 具有 GUI、 虚 拟 存储 管理 ,网 络 通信 支持 、 数 据 库 支持 、 多 媒体 
支持 等 功能 ,具有 开放 性 、 通 用 行 、 高 性 能 等 特点 。 

5. 网 络 操作 系统 

计算 机 网 络 通过 通信 设施 将 地 理 上 分 散 且 具有 自治 功能 的 多 个 计算 机 系统 互联 起 来 ， 
网 络 操作 系统 能 够 控制 计算 机 在 网 络 中 传送 信息 和 共享 资源 ,并 为 网 络 用 户 提 供 所 需 的 各 
种 服务 ,其 主要 功能 有 网 络 通信 ,资源 管理 .网 络 管理 和 网 络 服务 等 。 目 前 ,主要 的 三 种 网 络 
操作 系统 是 UNIX、NetWare 和 Windows NT。UNIX 是 唯一 的 跨 平台 操作 系统 , Windows 
NT 工作 在 微型 计算 机 和 工作 站 上 ,NetWare 则 主要 面向 微型 计算 机 。 

尽管 尚 无 严格 定义 ,但 一 般 认为 操作 系统 是 管理 系统 资源 、 控 制程 序 执行 ,改善 人 机 界 
面 、 提 供 各 种 服务 ,并 合理 组 织 计算 机 工作 流程 和 为 用 户 方便 而 有 效 地 使 用 计算 机 提供 良好 
运行 环境 的 最 基本 的 系统 软件 。 


6.2.3 操作 系统 功能 


从 资源 管理 的 观点 来 看 ,操作 系统 的 主要 功能 包括 处 理 器 管理 ,存储 管理 ` 设 备 管理 、 文 
件 管 理 、 网 络 与 资源 管理 ,用 户 接口 。 

1. 处 理 器 管理 

处 理 器 是 计算 机 系统 中 最 为 宝贵 的 资源 ,应 该 最 大 限度 地 提高 其 利用 率 ,常常 采用 多 道 
程序 设计 技术 ,组 织 多 个 作业 同时 执行 ,解决 处 理 器 的 调度 、 分 配 和 回收 问题 。 为 了 做 好 处 
理 器 管理 ,描述 多 道 程序 的 并 发 执行 .操作 系统 引入 进程 的 概念 ,处 理 器 的 分 配 、 调 度 和 执行 
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都 以 进程 为 基本 单位 。 随 着 并 行 处 理 技 术 的 发 展 ,并 发 执行 单位 的 粒度 变 细 ,并 发 执行 的 代 
价 降低 ,在 进程 的 基础 上 又 引入 了 线程 概念 。 对 处 理 器 的 管理 和 调度 最 终归 结 为 对 进程 和 
线程 的 管理 和 调度 。 

2. 存储 管理 

存储 管理 的 主要 任务 是 管理 主 存 资源 ,为 多 道 程序 运行 提供 有 力 的 支撑 ,提高 存储 空间 
的 利用 率 。 具 体 功能 包括 以 下 几 个 。 

(1) 主 存 分 配 : 根据 应 用 程序 的 需要 向 其 分 配 主 存 资源 ,在 程序 运行 结束 时 ,回收 主 存 
资源 。 

(2) 地 址 转换 与 存储 保护 : 负责 把 用 逻辑 地 址 编程 的 应 用 程序 装 和 主 存 , 并 将 逻辑 地 
址 转换 成 物理 地 址 ,同时 保证 各 应 用 程序 互 不 干扰 ,不 允许 它们 访问 操作 系统 存储 区 。 

(3) 主 存 共享 : 能 够 让 主 存 中 的 多 个 应 用 程序 实现 存储 共享 ,提高 存储 资源 的 利用 率 。 

(4) 存储 扩充 : 由 于 受到 处 理 器 寻 址 能 力 的 限制 ,一 台 计 算 机 的 物理 主 存 容 量 总 是 有 
限 的 ,难以 满足 大 型 应 用 程序 的 需求 ,而 辅助 存储 器 容量 大 而 且 价格 便宜 , 故 存储 管理 应 能 
够 从 迎 辑 上 扩充 主 存 , 把 主 存 和 辅 存 混合 起 来 使 用 ,为 用 户 提供 比 实际 主 存 容 量 大 得 多 的 虚 
拟 存储 器 。 

3. 设备 管理 

设备 管理 的 主要 任务 是 管理 各 种 外 部 设备 ,完成 用 户 所 提出 的 I/O 请 求 ; 加 快 数据 传 
输 速度 ,发 挥 设 备 的 并 行 性 ,提高 设备 的 利用 率 ; 提供 设备 驱动 程序 和 中 断 处 理 程序 ,为 用 
户 隐 蔽 硬件 操作 细节 ,提供 简单 的 设备 使 用 方法 。 

4. 文件 管理 

上 述 三 种 管理 是 针对 计算 机 硬件 资源 的 管理 ,文件 管理 则 是 针对 信息 资源 的 管理 。 通 
常 程序 和 数据 以 文件 的 形式 存储 在 辅助 存储 器 上 ,操作 系统 中 配置 了 文件 系统 ,对 用 户 文件 
和 系统 文件 进行 有 效 的 管理 ,实现 按 名 存 取 , 实 现 文件 的 共享 、 保 护 , 并 向 用 户 提供 一 整套 文 
件 操 作 接 口 。 

5. 网 络 与 资源 管理 

计算 机 网 络 源 于 计算 机 技术 与 网 络 技术 的 结合 , 近 些 年 来 ,网 络 的 应 用 范围 已 经 十 分 广 
泛 。 操 作 系统 至 少 应 具有 网 络 资源 管理 .数据 通信 管理 和 网 络 管理 的 功能 。 

6. 用 户 接口 

为 了 使 用 户 能 够 灵活 方便 地 使 用 计算 机 硬件 和 系统 所 提供 的 服务 ,操作 系统 向 用 户 提 
供 一 组 使 用 其 功能 的 手段 , 称 为 用 户 接口 ,包括 程序 接口 和 操作 接口 ,用 户 通 过 这 些 接口 能 
够 方便 地 调用 操作 系统 的 功能 ,有 效 组 织 作业 及 其 处 理 流程 ,使 得 整个 计算 机 系统 高 效 
运行 。 
6.2.4 程序 接口 和 系统 调用 


操作 系统 通过 程序 接口 和 操作 接口 将 其 服务 和 功能 提供 给 用 户 , 如 图 6. 1 所 示 。 程 序 
接口 是 操作 系统 对 外 提供 服务 和 功能 的 手段 , 它 由 一 组 系统 调用 组 成 ,在 应 用 程序 中 使 用 
“系统 调用 ”可 获得 操作 系统 的 底层 服务 ,访问 或 使 用 系统 管理 的 各 种 软 硬 件 资源 ; 操作 接 
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口 由 一 组 控制 命令 和 作业 控制 语言 组 成 ,控制 命令 可 以 在 字符 型 用 户 界面 下 通过 命令 行 或 
批 命令 的 方式 实现 ,这 种 方式 需要 牢记 各 种 命令 的 动词 和 参数 ,严格 按 规定 的 格式 输入 命 
令 , 既 费时 又 不 方便 ,目前 最 为 流行 的 联机 作业 控制 方式 采用 图 形 用 户 界面 GUI, 通 过 图 标 
将 系统 的 各 项 控制 功能 直观 逼真 地 表示 出 来 ,用 户 通 过 选择 窗口 菜单、 对话 框 等 完成 控制 
和 操作 。 


应 用 程序 操作 命令 





系统 调 有 | 系统 程序 
(程序 接口 ) (作业 接口 ) 








操作 系统 
裸 机 











图 6.1 用 户 和 操作 系统 之 间 的 接口 


为 了 给 应 用 程序 的 运行 创建 良好 的 环境 ,操作 系统 内 核 提供 了 一 系列 具备 特定 功能 的 
内 核 函 数 , 通 过 一 组 称 为 系统 调用 (System Call) 的 接口 呈现 给 用 户 。 系 统 调用 把 应 用 程序 
的 请 求 传送 至 内 核 , 调 用 相应 的 内 核 函 数 完成 所 需 的 处 理 , 将 处 理 结果 返 回 给 应 用 程序 ,如 
果 没 有 系统 调用 和 内 核 函数 ,用 户 将 不 可 能 编写 功能 强大 的 应 用 程序 。 可 以 这 样 认为 ,内 核 
的 主体 是 系统 调用 的 集合 。 

操作 系统 服务 之 所 以 通过 系统 调用 的 方式 供用 户 使 用 ,其 根本 原因 是 为 了 对 系统 进行 
“保护 ”。 程序 的 运行 空间 分 为 内 核 空间 和 用 户 空间 ,其 程序 各 自 按 不 同 的 特权 运行 ,在 逻辑 
上 相互 隔离 。 应 用 程序 不 能 直接 访问 内 核 数据 ,也 无 法 直接 调用 内 核 函 数 , 它 们 只 能 在 用 户 
空间 操纵 用 户 数据 ,调用 用 户 空间 函数 ,但 是 在 很 多 情况 下 ,应 用 程序 需要 获得 系统 服务 ,这 
时 就 必须 利用 系统 提供 给 用 户 的 特殊 接口 一 一 系统 调用 。 

当 CPU 执行 程序 中 预 设 的 由 访 管 指令 实现 的 系统 调用 时 ,会 产生 异常 信号 ,通过 中 断 
机 制 , 处 理 器 的 状态 由 用 户 态 转变 为 核心 态 , 进 入 操作 系统 并 执行 相应 的 内 核 函数 ,以 获得 
操作 系统 服务 , 当 系 统 调用 执行 完毕 时 ,控制 权 返 回 至 发 出 系统 调用 的 程序 ,系统 调用 是 应 
用 程序 获得 操作 系统 服务 的 唯一 途径 。 

每 种 操作 系统 所 提供 的 一 组 系统 调用 虽然 功能 大 同 小 异 , 但 是 其 实现 细节 不 尽 相同 ,与 
具体 的 机 型 有 关 。 如 果 应 用 程序 直接 使 用 系统 调用 ,至 少 存在 两 个 问题 ,一 是 接口 复杂 、 使 
用 困难 ,二 是 应 用 程序 的 跨 平 台 可 移植 性 受到 很 大 限制 ,为 此 IEEE 开发 了 POSIX 
(Portable Operating System Interface for Computer Environments, 计 算 机 环境 可 移植 操作 
系统 接口 ) 标 准 , 其 中 POSIX 专门 规定 内 核 的 系统 调用 接口 标准 ,操作 系统 的 实现 若 遵循 此 
标准 ,那么 应 用 程序 在 不 同 操作 系统 之 间 就 具有 可 移植 性 。UNIX/Linux 遵循 POSIX 标 
准 , 所 以 它们 是 POSIX 兼容 的 操作 系统 。 

为 了 能 够 在 C 语言 程序 中 使 用 系统 调用 .UNIX/Linux 在 标准 C 函数 库 中 为 每 个 系统 
调用 构造 一 个 同名 的 封装 函数 ,屏蔽 其 下 各 层 的 复杂 性 ,这 样 的 封装 函数 是 库 函 数 , 它 是 应 
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用 程序 可 以 直接 使 用 的 API(Application Program Interface, 应 用 程序 接口 ) ,API 是 一 个 函 
数 的 定义 ,一 个 API 的 实现 可 能 会 用 到 一 个 或 多 个 系统 调用 ,也 可 能 若干 API 封装 相同 的 
系统 调用 ,也 有 可 能 完全 不 使 用 系统 调用 。 例 如 open() 库 函数 与 open() 系 统 调用 一 一 对 
应 ,但 strcpy() 库 函数 没有 使 用 任何 系统 调用 。 对 于 复杂 的 库 函 数 , 通 过 系统 调用 转向 内 核 
函数 只 是 其 工作 的 一 小 部 分 ,fprintf() 就 是 这 样 , 它 要 提供 数据 缓存 和 格式 编排 ,最 后 才 通 
过 write() 系 统 调 用 把 数据 写 到 设备 上 。UNIX/Linux 操作 系统 既 支 持 库 函数 ,又 公开 系统 
调用 ,所 以 UNIX 应 用 程序 既 可 以 通过 _syscalln()(n 为 传递 的 参数 个 数 ) 直接 使 用 系统 调 
用 ,又 可 通过 库 函 数 间接 使 用 系统 调用 ,以 此 获得 操作 系统 的 服务 。 如 图 6. 2 所 示 为 应 用 程 
序 执行 API fprintf() 时 ,调用 C 函数 库 中 的 fprintf() 库 函数 ,再 调用 C 函数 库 中 的 write() 
库 函 数 ,最终 调用 内 核 函 数 sys_write() 的 关系 链 。 


应 用 程序 调用 fprintft) 
C 函 数 库 中 的 ) 


fprintf0) 封 装 程序 








C 函 数 库 








C 函 数 库 中 的 
write() 封 装 程序 


系统 调用 处 理 程序 

内 核 ) 
Sys_write() 内 核 函 数 

图 6.2 应 用 程序 库 函 数 执行 过 程 


从 应 用 程序 的 角度 来 看 , 库 函 数 与 系统 调用 之 间 的 差别 并 不 重要 ,但 从 实现 的 角度 来 
看 ,两 者 之 间 存 在 重大 区 别 。 使 用 库 函 数 的 好 处 是 可 以 隐藏 访 管 指令 的 细节 ,使 得 系统 调用 
更 像 函 数 调 用 ,对 用 户 屏蔽 系统 调用 ,这 样 在 改动 内 核 时 不 会 影响 应 用 程序 的 正确 性 。 但 是 
库 函 数 属于 应 用 程序 ,在 用 户 态 运行 ,系统 调用 属于 系统 程序 ,在 核心 态 运 行 ,如 果 需 要 的 
话 , 用 户 可 以 替换 库 函 数 ,通常 却 不 能 替换 系统 调用 。 


6.2.5 进程 


进程 是 操作 系统 中 最 基本 、 最 重要 的 概念 ,进程 的 概念 最 早 是 1960 年 在 美国 麻 省 理工 
学 院 MULTICS 和 IBM 公司 CTSS/360 系统 中 提出 和 实现 的 。 一 般 认为 ,进程 是 可 并 发 执 
行 的 程序 在 某 个 数据 集合 上 的 一 次 计算 活动 ,进程 是 操作 系统 进行 资源 分 配 和 保护 的 基本 
单位 。 

从 理论 的 角度 看 ,进程 是 对 当前 运行 程序 活动 规律 的 抽象 ,从 实现 的 角度 看 ,进程 是 一 
种 数据 结构 ,用 来 准确 刻画 系统 动态 变化 的 内 在 规律 ,有 效 地 管理 和 调度 在 计算 机 系统 主 存 
运行 的 程序 。 首 先 讨论 操作 系统 中 引入 进程 的 目的 。 
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1. 引入 进程 的 原因 

处 理 器 (CPU) 是 计算 机 系统 的 宝贵 资源 ,需要 进行 有 效 管理 ,早期 的 单 道 批 处 理 系 统 
中 , 主 存 中 仅 有 单个 作业 在 运行 ,CPU 和 其 他 硬件 设备 串 行 工作 ,致使 系统 中 仍 有 许多 资源 
空闲 ,设备 利用 率 很 低 。 在 20 世纪 60 年 代 , 有 两 项 技术 取得 突破 性 进展 : 中 断 和 通道 ,使 
得 计算 机 体系 结构 由 原先 的 以 CPU 为 中 心 转变 成 以 主 存 为 中 心 ,通道 能 够 产生 1/O 中 断 ， 
具有 中 断 主机 工作 的 能 力 , 这 两 种 技术 相 结合 ,为 实现 CPU 和 其 他 硬件 设备 的 并 行 工作 提 
供 了 一 定 的 基础 ,产生 了 多 道 程序 设计 。 

多 道 程序 设计 是 指 允 许多 个 作业 (程序 ) 同 时 进入 计算 机 系统 的 主 存 并 启动 交 蔡 计算 的 
方法 。 也 就 是 说 主 存 中 多 个 相互 独立 的 程序 均 处 于 开始 和 结束 之 间 , 从 宏观 上 看 是 并 行 的 ， 
多 道 程 序 都 处 于 运行 过 程 中 ,从 微观 上 看 是 串 行 的 ,各 道 程序 轮流 占用 CPU 以 交替 执行 。 
引入 多 道 程序 设计 ,可 以 提高 CPU 的 利用 率 ,充分 发 挥 计算 机 硬件 的 并 行 性 ,现代 计算 机 
系统 都 采用 多 道 程序 设计 技术 。 

在 现代 计算 机 系统 中 ,I/O 操作 较 慢 而 CPU 运行 速度 快 , 故 程序 运行 时 花费 在 1/O 操 
作 上 的 时 间 最 多 ,而 程序 在 执行 /O 时 并 不 需要 CPU, 从 第 二 代 计 算 机 开始 ,系统 具有 
CPU 和 设备 并 行 工作 的 能 力 , 采 用 多 道 程序 设计 技术 可 以 提高 系统 资源 利用 率 。 

【 例 6-1】 求解 某 个 数据 问题 ,要求 从 输入 机 (运转 速度 为 6400 个 字符 /s) 输 入 500 个 
字符 ,经 处 理 ( 费 时 52ms) 之 后 ,将 结果 (假定 为 2000 个 字符 ) 存 储 到 磁带 上 (磁带 机 的 运转 
速度 为 105 个 字符 /s) ,然后 ,再 读 取 500 个 字符 进行 处 理 , 直 至 所 有 数据 处 理 完毕 为 止 。 如 
果 CPU 不 具备 设备 并 行 工 作 的 能 力 ,那么 CPU 的 利用 率 为 : 

52/(78 十 52 十 20) 守 35% 

可 以 看 出 系统 效率 之 所 以 不 高 是 因为 当 输入 机 输入 500 个 字符 之 后 ,处 理 器 只 用 52ms 
进行 处 理 ,而 第 二 批 输入 数据 尚 需 等 待 98ms 才能 输入 完毕 ,在 此 期 间 CPU 一 直 空 闲 。 这 
说 明 在 单 道 程序 工作 时 ,计算 机 系统 各 部 件 的 利用 率 并 未 得 到 充分 的 发 挥 。 为 了 提高 系统 
效率 ,让 计算 机 同时 接受 两 道 计算 题 , 当 第 一 道 程序 等 待 设备 进行 数据 传输 时 ,让 第 二 道 程 
序 运行 ,以 缩短 CPU 空闲 等 待 时 间 ,那么 CPU 的 利用 率 将 得 以 提高 。 例 如 ,计算 机 在 接收 
上 述 例题 时 还 接收 另 一 道 计算 题 ,从 另 一 台 磁 带 机 上 输入 2000 个 字符 ,经 42ms 的 处 理 之 
后 ,从 行 式 打印 机 (运转 速度 为 1350 行 /min) 上 输出 两 行 。 

当 两 道 程序 同时 进入 主 存 时 ,计算 过 程 如 图 6. 3 所 示 ,其 中 P, 表示 程序 甲 ,该 程序 首先 
占用 CPU 对 输入 的 500 个 字符 进行 处 理 , 下 次 处 理 要 等 待 98ms, 因 而 这 段 时 间 内 CPU 是 
空闲 的 。 系 统 调度 程序 乙 ( 用 P; 表示 ) 工 作 , 它 从 磁带 机 上 输入 2000 个 字符 ,然后 对 这 批 数 
据 进行 处 理 , 相 应 的 设备 和 CPU 操作 都 是 并 行 的 ,不 难 算出 ,此 时 CPU 的 利用 率 为 : 

(52+42)/150 守 63% 

所 以 ,多 个 程序 同时 进入 主 存 执行 计算 比 程序 逐个 串 行 计算 的 CPU 利用 率 要 高 ,因为 
当 某 个 程序 因 故 不 能 继续 运行 时 ,系统 会 把 CPU 分 配给 另 一 个 程序 ,使 得 CPU 和 设备 尽 
量 处 于 忙碌 状态 ,这 就 是 采用 多 道 程序 设计 的 主要 原因 。 

在 多 道 程序 环境 下 ,处 理 器 在 各 程序 之 间 来 回 切换 ,程序 是 并 发 执行 的 ,程序 的 任意 两 
条 指令 之 间 都 可 能 发 生 事 件 而 引发 程序 切换 ,因而 程序 的 执行 可 能 不 是 连续 的 而 是 走 走 停 
停 。 此 外 ,程序 的 并 发 执行 又 会 引发 资源 共享 和 竞争 问题 ,造成 并 发 执行 的 各 个 程序 之 间 可 
能 存在 制约 关系 ,执行 的 程序 不 再 处 于 封闭 环境 中 ,出现 许多 新 特征 。 而 程序 自身 只 是 计算 
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图 6.3 ”两 道 程序 运行 时 处 理 器 的 利用 率 


任务 的 指令 和 数据 的 描述 ,这 种 静态 的 概念 无 法 刻画 程序 的 并 发 性 ,系统 要 寻找 能 够 描述 程 
序 动态 执行 过 程 的 概念 ,这 就 是 进程 。 进 程 是 并 发 程序 设计 的 一 种 有 力 工 具 ,操作 系统 中 进 
程 概念 能 较 好 地 刻画 系统 内 部 的 “动态 性 ”, 发 挥 系 统 的 “并 发 性 ”, 从 而 提高 资源 利用 率 。 

2. 进程 的 状态 和 转换 

进程 从 因 创 建 而 产生 直至 撤销 而 消亡 的 整个 生命 周期 中 ,有 时 占用 处 理 器 执行 ,有 时 虽 
然 运 行 但 分 不 到 处 理 器 ,有 时 虽然 处 理 器 空闲 但 因 等 待 某 个 事件 发 生 而 无 法 执行 ,这 一 切 说 
明了 进程 和 程序 的 不 同 ,进程 是 活动 的 且 有 状态 变化 ,状态 及 状态 之 间 的 转换 体现 了 进程 的 
动态 性 。 为 了 便于 系统 管理 ,一 般 来 说 ,按照 进程 在 执行 过 程 中 的 不 同情 况 至 少 定义 以 下 三 
种 进程 状态 : 

(1) 运行 态 (Running): 进程 占用 处 理 器 运行 的 状态 。 

(2) 就 绪 态 (Ready) : 进程 具备 运行 条 件 ,等待 系统 分 配 处 理 器 以 便 其 运行 的 状态 。 

(3) 等 待 态 (Wait) : 又 称 阻塞 态 (Blocked) 或 睡眠 态 (Sleep), 是 指 进程 不 具备 运行 条 
件 , 正 在 等 待 某 个 事件 完成 的 状态 。 

处 于 运行 态 的 进程 个 数 不 能 大 于 处 理 器 的 个 数 , 处 于 就 绪 态 和 等 待 态 的 进程 可 以 有 多 
个 。 进 程 通常 在 创建 之 后 处 于 就 绪 态 ,进程 在 执行 过 程 中 的 任 一 时 刻 必然 处 于 上 述 三 种 状 
态 之 一 ,进程 在 执行 过 程 中 其 状态 将 发 生 改 变 ,如 图 6.4 所 示 。 


Cane )-—( ms ) 


图 6.4 进程 基本 状态 转换 









出 现 等 待 事件 


引起 进程 状态 转换 的 具体 原因 有 以 下 几 点 : 
(1) 运行 态 -等 待 态 : 运行 进程 等 待 使 用 某 种 资源 或 某 事件 发 生 , 如 等 待 设备 传输 数据 
或 人 工 干 预 。 
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(2) 等 待 态 -就 绪 态 : 所 需 资源 得 到 满足 或 某 事件 已 经 完成 ,如 设备 传输 数据 结束 或 人 


工 干预 完成 。 
(3) 运行 态 -就 绪 态 : 运行 时 间 片 到 时 或 出 现 更 高 优先 级 的 进程 时 ,当前 进程 被 迫 让 出 
处 理 器 。 


(4) 就 绪 态 -运行 态 : 当 CPU 空闲 时 ,调度 程序 选中 一 个 就 绪 进程 执行 。 

到 目前 为 止 ,总 是 假设 所 有 进程 都 在 主 存 中 ,事实 上 ,可 能 出 现 这 样 的 情况 ,由 于 不 断 地 
创建 进程 ,系统 资源 特别 是 主 存 资源 已 经 不 能 满足 进程 运行 的 要 求 , 此 时 必须 把 某 些 进程 挂 
起 (Suspend) , 置 于 磁盘 对 换 区 中 ,释放 其 占用 的 某 些 资源 ,暂时 不 启用 低级 调度 ,起 到 平滑 
系统 负载 的 目的 ,也 可 能 系统 出 现 某 种 故障 ,需要 暂时 挂 起 一 些 进程 ,以 便 在 故障 消除 后 , 解 
除 挂 起 并 恢复 进程 的 运行 ,总 之 引起 进程 挂 起 的 原因 多 种 多 样 。 

如 图 6. 5 所 示 为 具有 挂 起 进程 功能 的 系统 中 的 进程 状态 ,两 个 新 状态 是 挂 起 就 绪 态 
(Ready Suspend) 和 挂 起 等 待 态 (Blocked Suspend)。 挂 起 就 绪 态 表明 进程 具备 运行 条 件 ， 
但 目前 在 辅助 存储 器 中 ,只 有 当 进 程 被 对 换 到 主 存 时 才能 调度 执行 ; 挂 起 等 待 态 则 表明 进 
程 正 在 等 待 某 一 事件 发 生 且 进程 在 辅助 存储 器 中 。 





图 6.5 具有 挂 起 进程 功能 的 系统 中 进程 状态 转换 


引起 进程 状态 转换 的 具体 原因 如 下 : 

(1) 等 待 态 一 挂 起 等 待 态 : 如 果 当 前 不 存在 就 绪 进 程 ,系统 根据 资源 分 配 情况 和 性 能 
要 求 , 选 择 等 待 态 进程 对 换 出 去 ,使 之 处 于 挂 起 等 待 态 。 

(2) 挂 起 等 待 态 一 挂 起 就 绪 态 : 导致 进程 等 待 的 事件 完成 后 ,相应 的 处 于 挂 起 等 待 态 
的 进程 将 转换 为 挂 起 就 绪 态 。 

(3) 挂 起 就 绪 态 一 就 绪 态 : 当主 存 中 不 存在 就 绪 进 程 ,或 者 挂 起 就 绪 态 进程 具有 比 就 
绪 态 进程 更 高 的 优先 级 时 ,系统 将 把 挂 起 就 绪 态 进程 换 回 主 存 并 转换 成 就 绪 态 。 

(4) 就 绪 态 一 挂 起 就 绪 态 : 系统 根据 当前 资源 分 配 情况 和 性 能 要 求 ,决定 把 就 绪 态 进 
程 对 换 出 去 ,使 之 处 于 挂 起 就 绪 态 。 

(5) 挂 起 等 待 态 一 等 待 态 : 进程 等 待 事件 发 生 时 ,原则 上 无 须 将 其 调 人 主 存 , 但 当 某 些 
进程 撤销 后 , 主 存 拥 有 足够 的 自由 空间 ,而 某 个 挂 起 等 待 态 进 程 具有 较 高 的 优先 级 , 且 系 统 
得 知 导致 它 阻塞 的 事件 即将 结束 , 便 可 能 发 生 这 一 类 状态 变化 。 

(6) 运行 态 一 挂 起 就 绪 态 : 当 一 个 具有 较 高 优先 级 的 挂 起 等 待 进程 所 等 待 的 事件 完成 
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后 , 它 需 要 强占 CPU ,而 此 时 主 存 空 间 不 够 ,可 能 会 导致 正在 运行 的 进程 转换 为 挂 起 就 绪 
态 。 另 外 ,运行 态 进程 也 可 自我 挂 起 。 

(7) 新 建 态 一 挂 起 就 绪 态 : 考虑 系统 当前 资源 分 配 状况 和 性 能 要 求 ,决定 将 新 建 进 程 
对 换 出 去 ,使 之 处 于 挂 起 就 绪 态 。 

不 难看 出 , 挂 起 进程 等 同 于 不 在 主 存 的 进程 ,因此 , 挂 起 进程 不 会 参与 低级 调度 直到 它 
们 被 对 换 进 主 存 。 挂 起 进程 具有 以 下 特征 : 此 进程 不 能 立即 执行 ; 此 进程 可 能 会 等 待 某 事 
件 发 生 ,所 等 待 的 事件 独立 于 挂 起 条 件 ,事件 结束 并 不 能 导致 进程 具备 可 执行 条 件 ,此 进程 
进入 挂 起 状态 是 由 于 操作 系统 、 父 进程 或 进程 自身 阻止 其 运行 ; 进程 挂 起 状态 的 结束 命令 
只 能 通过 操作 系统 或 父 进程 发 出 。 

3. 进程 的 描述 和 组 成 

1) 进程 映像 

进程 的 活动 包括 占用 处 理 器 执行 程序 以 及 对 相关 数据 进行 操作 ,因而 ,程序 和 数据 是 进 
程 必需 的 组 成 部 分 ,两 者 刻画 进程 的 静态 特性 , 除 此 之 外 ,还 需要 数据 结构 来 刻画 进程 的 动 
态 特 征 ,描述 进程 状态 .占用 资源 状况 .调度 信息 等 ,通常 使 用 一 种 称 为 进程 控制 块 的 数据 结 
构 。 由 于 进程 的 状态 在 不 断 发 生变 化 , 某 时 刻 进程 的 内 容 及 其 状态 集合 称 为 进程 映像 
(Process Image) ,包括 以 下 一 些 要 素 : 

(1) 进程 控制 块 : 每 个 进程 绑 定 一 个 控制 块 ,用 来 存储 进程 的 标志 信息 、 现 场 信息 和 控 
制 信息 。 进 程 创建 时 建立 进程 控制 块 ,进程 撤销 时 回收 进程 控制 块 , 它 与 进程 一 一 对 应 。 

(2) 进程 程序 块 : 进程 程序 块 是 被 执行 的 程序 ,规定 进程 的 一 次 运行 所 应 完成 的 功能 。 

(3) 进程 核心 栈 : 每 个 进程 绑 定 一 个 核心 栈 , 进 程 在 核心 态 工作 时 使 用 ,用 来 保存 中 
断 /异常 现场 保存 函数 调用 的 参数 和 返回 地 址 等 。 

(4) 进程 数据 块 : 进程 数据 块 是 进程 的 私有 地 址 空间 ,存放 各 种 私有 数据 ,用 户 栈 也 要 
在 数据 块 中 开辟 ,用 于 在 函数 调用 时 存放 栈 帧 、 局 部 变量 等 参数 。 

可 见 , 每 个 进程 由 4 个 要 素 组 成 : 控制 块 ,程序 块 、 核 心 栈 和 数据 块 。 

2) 进程 控制 块 

每 个 进程 有 且 仅 有 一 个 进程 控制 块 (Process Control Block,PCB) ,或 称 进程 描述 符 , 它 
是 进程 存在 的 唯一 标识 ,是 操作 系统 用 来 记录 和 刻画 进程 状态 及 有 关 信 息 的 数据 结构 ,是 进 
程 动态 特征 的 一 种 汇集 ,也 是 操作 系统 掌握 进程 的 唯一 资料 结构 和 管理 进程 的 主要 依据 。 
进程 控制 块 包括 进程 执行 时 的 情况 以 及 进程 让 出 处 理 器 后 所 处 的 状态 、 断 点 等 信息 ,一 般 来 
说 ,应 包含 以 下 三 类 信息 。 

(1) 标识 信息 

标识 信息 用 于 唯一 地 标识 一 个 进程 ,分 为 用 户 使 用 的 外 部 标识 符 和 系统 使 用 的 内 部 标 
志 号 。 系 统 中 的 所 有 进程 都 被 赋予 唯一 的 .内 部 使 用 的 数值 型 进程 号 (通常 是 0 一 32 768 中 
的 正 整数 ) ,操作 系统 内 核 函 数 可 通过 进程 号 来 引用 PCB。 常 用 的 标识 信息 包括 进程 标识 
ID .进程 组 标识 ID、 用 户 名 、 用 户 组 名 等 。 

(2) 现场 信息 

现场 信息 用 于 保留 进程 在 运行 时 存放 在 处 理 器 现场 中 的 各 种 信息 。 进 程 在 让 出 处 理 器 
时 ,必须 将 此 时 的 现场 信息 保存 在 它 的 PCB 中 ,而 当 此 进程 恢复 运行 时 也 应 恢复 处 理 器 现 
场 。 现 场 信息 包括 通用 寄存 器 内 容 、 控 制 寄 存 器 内 容 、 栈 指针 等 。 
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(3) 控制 信息 

控制 信息 用 于 管理 和 调度 进程 ,包括 进程 调度 的 相关 信息 ,如 进程 状态 、 等 待 事件 和 等 
竺 原因、 进程 优先 级 .队列 指针 等 ; 进程 组 成 信息 ,如 正文 段 指针 、 数 据 段 指针 、 进 程 之 间 的 
族 系 信息 ,如 指向 父 / 子 / 兄 进程 的 指针 ; 进程 间 的 通信 信息 ,如 消息 队列 指针 、 所 使 用 的 信 
号 量 和 锁 , 进 程 段 /页 表 指 针 、 进 程 映像 在 辅助 存储 器 中 的 地 址 ; CPU 的 占用 和 使 用 信息 ， 
如 时 间 片 剩余 量 ` 已 占用 CPU 时 间 、 进 程 已 执行 时 间 总 和 、 定 时 器 信息 、 记 账 信息 ; 进程 特 
权 信息 ,如 主 存 访问 权限 和 处 理 器 特权 ; 资源 清单 ,如 进程 所 需 的 全 部 资源 .已 经 分 得 的 资 
源 , 例 如 主 存 . 设 备 . 打 开 文 件 表 等 。 

PCB 是 操作 系统 中 最 重要 的 数据 结构 , 它 包 含 管理 进程 所 需要 的 全 部 信息 ,PCB 的 集 
合 实际 上 定义 了 操作 系统 的 当前 状态 ,其 使 用 权 和 修改 权 均 属于 操作 系统 ,包括 调度 程序 、 
资源 分 配 程序 .中 断 处 理 程序 .性 能 监视 和 分 析 程 序 等 。 系 统 在 创建 进程 时 就 为 它 建 立 
PCB, 当 进程 运行 结束 被 撤销 时 ,将 回收 其 所 占用 的 PCB。 操 作 系统 根据 PCB 对 并 发 执行 
的 进程 进行 控制 和 管理 ,进程 借助 于 PCB 才能 被 调度 执行 。 

4. 进程 的 控制 和 管理 

系统 中 的 进程 不 断 地 产生 和 消亡 ,进程 生命 周期 的 动态 变化 过 程 由 进程 管理 程序 来 控 
制 , 对 于 进程 的 控制 和 管理 包括 创建 进程 .阻塞 进程 .唤醒 进程 、 挂 起 进程 .激活 进程 终止 进 
程 和 撤销 进程 等 ,这 些 功能 均 由 系统 中 的 原 语 实现 。 原 语 (Primitive) 在 核心 态 执行 ,是 完成 
系统 特定 功能 的 不 可 分 割 的 过 程 , 它 具有 原子 操作 性 ,其 程序 段 不 允许 被 中 断 ,或 者 说 原 语 
不 能 并 发 执行 ,系统 对 进程 的 控制 如 果 不 使 用 原 语 ,就 会 造成 状态 的 不 确定 性 ,不 能 达到 进 
程控 制 的 目的 。 下 面 介绍 部 分 进程 控制 原 语 。 

1) 进程 创建 

可 以 动态 地 创建 新 进程 , 当 通 过 内 核 为 一 个 程序 构造 PCB 并 分 配 地 址 空间 后 ,就 创建 
了 一 个 进程 ,进程 的 创建 来 源 于 以 下 事件 : 

(1) 提交 批 处 理 作业 ; 

(2) 有 交互 式 作 业 登 录 终 端 ; 

(3) 操作 系统 创建 服务 进程 ; 

(4) 已 存在 的 进程 创建 新 进程 。 

当 用 户 作 业 被 选中 进入 主 存 时 ,需要 创建 用 户 进程 来 完成 作业 。 一 个 用 户 进程 在 请 求 
某 种 服务 时 ,也 需要 创建 一 个 或 多 个 子 进程 或 系统 进程 来 为 其 服务 。 例 如 , 当 用 户 进程 读 取 
卡片 上 的 一 段 数据 时 ,可 能 要 求 创 建 卡片 输入 机 管理 进程 。 有 的 操作 系统 把 创建 用 父子 进 
程 的 关系 来 表示 , 当 一 个 进程 创建 另 一 个 进程 时 ,生成 进程 称 为 父 进 程 ,被 生成 进程 称 为 子 
进程 , 父 进 程 可 以 创建 多 个 子 进程 ,从 而 形成 树 状 族 系 关系 ,一 般 来 说 ,进程 的 创建 过 程 
如 下 : 

(1) 在 进程 列表 中 增加 一 项 ,从 PCB 池 中 申请 一 个 空闲 PCB, 为 新 进程 分 配 唯一 的 进 
程 标志 符 。 

(2) 为 新 进程 的 进程 映像 分 配 地 址 空间 ,以 便 容纳 进程 实体 。 由 进程 管理 程序 确定 加 
载 至 进程 地 址 空间 中 的 程序 。 

(3) 为 新 进程 分 配 除 主 存 空 间 以 外 的 其 他 各 种 资源 。 

(4) 初始 化 PCB, 如 进程 标识 符 、 处 理 器 初始 状态 、 进 程 优先 级 等 。 
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(5) 把 新 进程 的 状态 设置 为 就 绪 态 ,并 将 其 移 人 就 绪 进 程 队列 。 

(6) 通知 操作 系统 的 某 些 模块 ,如 记 账 程序 、 性 能 监控 程序 。 

不 同 操作 系统 创建 进程 的 方式 不 尽 相 同 ,传统 UNIX 系统 中 是 这 样 处 理 的 : 父 进程 使 
用 fork() 创 建 子 进程 ,此 系统 调用 不 带 任何 参数 , 子 进程 的 行为 完全 由 父 进 程 和 默认 行为 所 
决定 ,把 自己 的 地 址 空间 制作 一 个 副本 ,其 中 包括 user 结构 (包含 所 有 打开 文件 的 文件 描述 
符 ) .正文 段 ,数据 段 . 用 户 栈 和 核心 栈 , 即 子 进程 继承 父 进程 的 全 部 资源 ; 同时 ,系统 将 子 进 
程 的 pid 返回 给 父 进 程 ,向 子 进程 返回 0, 这 种 实现 方式 使 得 父子 进程 易于 通信 。 当 人 然 , 如 果 
子 进程 需要 ,可 以 使 用 系统 调用 execve() 让 新 程序 替换 老 程 序 ,此 后 ,父子 进程 之 间 可 以 自 
行 其 道 。 

Linux 保留 传统 的 fork() 创 建 子 进程 的 方法 ,在 调用 fork() 创 建 子 进程 后 ,父子 进程 存 
在 以 下 关系 : 调用 一 次 ,返回 两 次 ,分 别 返回 给 父子 进程 ,父子 进程 是 独立 的 进程 ,可 以 并 发 
执行 ,父子 进程 具有 独立 的 地 址 空间 ,如 果 父 进程 改变 某 个 变量 的 值 , 子 进程 将 不 会 看 到 这 
个 变化 ,反之 亦 然 。 

2) 进程 撤销 

进程 完成 特定 的 工作 或 出 现 严 重 错误 之 后 ,操作 系统 将 回收 其 所 占有 的 地 址 空间 和 
PCB, 此 时 就 是 撤销 一 个 进程 。 进 程 撤销 的 主要 原因 有 : 进程 运行 结束 ; 进程 执行 非法 指 
令 ; 进程 运行 时 间 超 过 分 配 的 最 大 时 间 限 额 ; 进程 等 待 时 间 超过 所 设 定 的 最 长 等 待 时 间 ; 
越界 错误 ; 父 进程 撤销 其 子 进程 ; 父 进程 撤销 ,其 所 有 子 进程 被 撤销 ; 操作 系统 终止 等 。 

一 旦 发 生 上 述 事 件 , 系 统 或 进程 将 调用 撤销 原 语 来 终止 进程 或 子 进程 ,具体 步骤 如 下 : 

(1) 根据 撤销 进程 的 标识 号 ,从 相应 的 队列 中 查找 并 移 除 它 ; 

(2) 将 此 进程 所 拥有 的 资源 归还 给 父 进程 或 操作 系统 ; 

(3) 车 此 进程 拥有 子 进程 , 先 撤销 其 所 有 子 进程 ,以 防止 它们 脱离 控制 ; 

(4) 回收 PCB, 并 将 其 归还 至 PCB 池 。 

3) 进程 的 阻塞 与 唤醒 

进程 阻塞 是 指 进 程 让 出 处 理 器 , 转 而 等 待 一 个 事件 ,如 等 待 资源 等 待 I/O 操作 完成 、 
等 待 某 事件 发 生 等 。 进 程 通常 自 调用 阻塞 原 语 来 阻塞 自己 ,所 以 ,阻塞 是 进程 的 自主 行为 ， 
是 一 个 同步 事件 。 当 等 待 事件 完成 时 ,会 产生 一 个 中 断 激活 操作 系统 ,在 系统 的 控制 之 下 将 
被 阻塞 的 进程 唤醒 。 等 待 事件 完成 是 指 1/O 操作 结束 、 某 个 资源 可 用 或 所 期 待 的 事件 发 
生 。 进 程 的 阻塞 和 唤醒 显然 是 由 进程 切换 来 完成 的 。 进 程 阻塞 的 步骤 如 下 : 

(1) 停止 进程 执行 ,将 现场 信息 保存 到 PCB; 

(2) 修改 进程 PCB 的 有 关内 容 , 如 进程 状态 由 运行 态 改 为 等 待 态 等 ,并 把 状态 已 修改 
的 进程 移入 相 应 事件 的 等 待 队 列 中 ; 

(3) 转 入 进程 调度 程序 ,调度 其 他 进程 运行 。 

进程 唤醒 的 步骤 如 下 : 

(1) 从 相应 的 等 待 队列 中 移出 进程 ; 

(2) 修改 进程 PCB 的 有 关内 容 , 如 进程 状态 改 为 就 绪 态 ,并 将 进程 移入 就 绪 队 列 ; 

(3) 若 被 唤醒 的 进程 比 当前 运行 进程 的 优先 级 高 ,重新 设置 调度 标志 。 

阻塞 原 语 和 唤醒 原 语 的 作用 正好 相反 ,如 果 进 程 因 某 种 事件 调用 阻塞 原 语 来 阻塞 自己 ， 
则 等 待 事件 发 生 后 ,必须 由 与 其 相关 的 另 一 进程 调用 唤醒 原 语 来 唤醒 被 阻塞 进程 ,否则 ,被 
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阻塞 进程 会 因 未 被 唤醒 而 处 于 永远 阻塞 状态 。 

4) 进程 的 挂 起 与 激活 

当 出 现 引 起 挂 起 的 事件 时 ,系统 或 进程 会 利用 挂 起 原 语 把 指定 进程 或 处 于 等 待 态 的 进 
程 挂 起 ,其 执行 过 程 大 致 是 : 检查 要 被 挂 起 的 进程 状态 ,车 处 于 活动 就 绪 态 ,就 修改 为 挂 起 
就 绪 态 ; 若 处 于 等 待 态 ,就 修改 为 挂 起 等 待 态 ,被 挂 起 进程 PCB 的 非常 驻 部 分 要 交换 到 磁 
盘 兑 换 区 。 

当 系 统 资源 尤其 是 主 存 资源 充裕 或 请 求 激活 指定 进程 时 ,系统 或 相关 进程 会 调用 激活 
原 语 把 指定 进程 激活 ,此 原 语 所 做 的 工作 是 : 把 被 挂 起 进程 PCB 的 非常 驻 部 分 调 入 主 存 ， 
然后 修改 其 状态 , 挂 起 等 待 态 改 为 等 待 态 , 挂 起 就 绪 态 改 为 就 绪 态 ,并 将 进程 移入 相应 的 队 
列 中 。 需 要 注意 的 是 , 挂 起 原 语 既 可 由 进程 自己 也 可 由 其 他 进程 调用 ,但 是 激活 原 语 只 能 由 
其 他 进程 调用 。 


6.3 存储 保护 


对 于 一 个 安全 操作 系统 ,存储 保护 是 最 基本 的 要 求 , 存 储 保护 指 的 是 内 存 保护 ,由 于 任 
何 程序 和 数据 必须 占用 内 存 空间 才能 得 以 执行 和 处 理 ,因此 内 存储 器 是 计算 机 中 的 共享 资 
源 , 即 使 对 于 单 用 户 单 任务 的 个 人 计算 机 ,内 存 也 是 被 用 户 程序 和 操作 系统 所 共享 的 ,在 多 
道 环 境 下 更 是 被 多 个 进程 所 共享 。 为 了 防止 共享 失去 控制 和 产生 不 安全 问题 ,对 内 存 进行 
保护 是 必要 的 。 

存储 保护 主要 是 指 保护 用 户 在 存储 器 中 的 程序 和 数据 ,对 于 单 用 户 单 任务 系统 ,内 存 中 
一 次 装 入 一 个 进程 ,存储 保护 机 制 应 该 防止 用 户 程序 对 操作 系统 的 影响 ,在 支持 多 道 程序 并 
发 运行 的 多 任务 系统 中 ,还 要 进一步 要 求 存 储 保护 机 制 对 各 用 户 进程 的 存储 区 域 实行 互相 
隔离 。 

存储 保护 的 主要 目的 如 下 : 

(1) 防止 对 内 存 的 未 授权 访问 。 

(2) 防止 对 内 存 的 错误 读 写 ,如 向 只 读 单元 写 。 

(3) 防止 用 户 的 不 当 操作 破坏 内 存 数据 区 ,程序 区 或 系统 区 。 

(4) 多 道 程序 环境 下 ,防止 不 同 用 户 的 内 存 区 域 相互 影响 。 

(5) 将 用 户 与 内 存 隔离 ,不 让 用 户 知 道 数据 或 程序 在 内 存 中 的 具体 位 置 。 

常用 的 内 存 保护 技术 有 单 用 户 内 存 保护 多 道 程序 的 保护 、 分 段 和 分 页 保护 技术 。 要 了 
解 各 种 存储 保护 技术 ,首先 简要 了 解 操作 系统 的 地 址 转换 技术 。 


6.3.1 地 址 转换 


大 多 数 应 用 程序 ,操作 系统 和 实用 程序 都 用 高 级 程序 设计 语言 或 汇编 语言 编写 ,所 编写 
的 程序 称 为 源 程序 , 源 程序 中 的 符号 名 集合 所 限定 的 空间 称 为 程序 名 字 空 间 。 源 程序 是 不 
能 被 计算 机 直接 运行 的 ,需要 通过 如 图 6.6 所 示 的 三 个 阶段 的 处 理 后 才能 装 入 主 存 运行 。 

1. 编译 

源 程 序 经 过 编译 程序 (Compiler) 或 汇编 程序 (Assembly) 的 处 理 生成 目标 代码 。 一 个 
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装 入 执行 


链接 
目标 代码 1 
可 执行 三 进 制 代码 | 。 。 
静态 重 定位 ( 主 存储 器 ) 


可 重 定位 目标 代码 
源 程序 模块 2 | | 目标 代码 2 | 一 一 ”( 铺 助 存 信守 ) 


编译 








源 程序 模块 1 










































可 执行 二 进 制 代码 
( 主 存储 器 ) 














源 程序 模块 2 一 一 一 | 目标 代码 n 库 代 码 























程序 名 字 空 间 逻辑 地 址 空间 物理 地 址 空间 


图 6.6 源 程序 执行 过 程 


程序 可 巾 独立 编写 且 具 有 不 同 功能 的 多 个 源 程序 模块 组 成 ,在 C 程序 设计 模型 中 ,至 少 分 
为 三 个 程序 模块 : 文本 段 .数据 段 和 堆栈 段 。 由 于 模块 中 包含 外 部 引用 , 即 指向 其 他 模块 中 
的 数据 或 指令 的 操作 数 地 址 ,或 包含 对 库 函 数 的 引用 ,编译 程序 负责 记录 引用 的 发 生 位 置 ， 
编译 或 汇编 的 结果 将 产生 相应 的 多 个 目标 模块 ,每 个 目标 模块 都 附 有 供 引用 的 内 部 符号 表 
和 外 部 符号 表 。 符 号 表 中 依次 给 出 各 个 符号 名 及 在 本 目标 模块 中 的 名 字 空 间 地 址 ,外 部 符 
号 在 模块 被 链接 时 进行 转换 。 例 如 ,编写 一 个 名 为 simplecomputing 的 源 程序 ,其 主 程序 
main 中 有 求 平方 根 库 函 数 SQRT 和 子 程序 调用 指令 SUB1,SQRT 是 函数 库 中 已 被 编译 成 
可 链接 的 目标 模块 的 标准 子 程序 ,SUB1 是 另 一 个 模块 中 定义 的 已 被 编译 成 可 链接 的 子 程 
序 , 这 时 所 调用 的 入口 地 址 均 是 未 知 的 ; 编译 程序 或 汇编 程序 将 在 外 部 符号 表 中 记录 外 部 
符号 名 SQRT 和 SUB1 ,同时 两 条 调用 指令 指向 函数 和 子 程序 的 位 置 。 

2. 链接 

链接 程序 (Linker) 的 作用 是 把 多 个 目标 模块 链接 成 一 个 完整 的 可 重 定位 程序 (其 中 包 
括 应 用 程序 要 调用 的 标准 库 函 数 、 所 引用 的 其 他 模块 中 的 子 程序 ) ,需要 解析 内 部 和 外 部 符 
号 表 , 把 对 符号 名 的 引用 转换 为 数值 引用 ,将 要 涉及 名 字 地 址 的 程序 入 口 点 和 数据 引用 点 转 
换 为 数值 地 址 。 仍 采用 上 例 ,Linker 首先 将 主 程序 调 入 工作 区 ,然后 ,扫描 外 部 符号 表 , 获 
得 外 部 符号 名 SQRT, 用 此 名 字 从 标准 函数 库 中 找 出 函数 的 sqrt. o 并 装 入 工作 区 ,拼接 在 
主 程序 的 下 面 ; SQRT 函数 的 主 存 位 置 就 是 调用 SQRT 指令 的 入 口 地 址 ,将 此 指令 代 真 ; 
调用 SUB1 的 链接 过 程 与 此 相似 ,只 是 从 另 一 个 模块 中 找到 subl. o 的 位 置 并 进行 指令 代 
真 ,经 过 链接 处 理 后 , 主 程序 main 和 SQRT 函数 和 SUB1 子 程序 链接 成 完整 的 可 重 定位 目 
标 程序 simplecomputing. o。 

可 重 定位 目标 程序 又 称 装载 代码 模块 , 它 存放 于 磁盘 中 ,由 于 程序 在 主 存 中 的 位 置 不 可 
预知 ,链接 时 程序 地 址 空间 中 的 地 址 总 是 相对 某 个 基准 (通常 为 0) 开始 编号 的 顺序 地 址 , 称 
为 逻辑 地 址 或 相对 地 址 。 

3. 装 入 

在 加 载 一 个 装载 代码 模块 之 前 ,存储 管理 程序 总 会 先 分 配 一 块 实际 主 存 区 给 进程 , 装 入 
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程序 (Loader) 根 据 指 定 的 主 存 区 首 地 址 ,将 进程 装 入 内 存 。 磁 盘 中 的 装载 代码 模块 所 使 用 
的 是 逻辑 地 址 ,其 逻辑 地 址 集合 称 为 进程 的 逻辑 地 址 空间 。 逻 辑 地 址 空间 可 以 是 一 维 的 ,这 
时 逻辑 地 址 限制 在 从 0 开始 顺序 排列 的 地 址 空间 内 ; 逻辑 地 址 空间 也 可 以 是 二 维 的 ,这 时 
整个 程序 被 分 为 若干 段 , 每 段 都 有 不 同 的 段 号 , 段 内 地 址 从 0 开始 顺序 编 址 。 进 程 运 行 时 ， 
其 装载 代码 模块 将 被 装 入 物理 地 址 空间 中 ,此 时 程序 和 数据 的 实际 地 址 通常 不 可 能 同 原来 
的 逻辑 地 址 一 致 。 物 理 主 存储 器 从 统一 的 基地 址 开始 为 存储 单元 顺序 编 址 , 称 为 物理 地 址 
或 绝对 地 址 ,物理 地 址 的 总 体 构 成 物理 地 址 空间 。 需 要 注意 的 是 ,物理 地 址 空间 是 由 存储 器 
地 址 总 线 扫描 出 来 的 空间 ,其 大 小 取决 于 实际 安装 的 主 存 容量 。 为 了 使 进程 能 正确 运行 , 需 
要 把 逻辑 地 址 转换 ( 绑 定 ) 为 物理 地 址 ,这 个 过 程 称 为 地 址 重 定位 ` 地 址 映射 或 地 址 转换 ,地 
址 重 定位 有 以 下 两 种 方式 。 

1) 静态 地 址 重 定位 

由 装 和 人 程序 实现 装载 代码 模块 的 加 载 和 地 址 转换 ,把 它 装 人 分 配给 进程 的 主 存 指定 区 
域 ,其 中 的 所 有 逻辑 地 址 修改 成 主 存 物理 地 址 , 称 为 静态 重 定位 (Static Relocating 
Address)。 地 址 转换 工作 在 进程 执行 前 一 次 完成 ,无 须 硬件 支持 ,易于 实现 ,但 不 允许 程序 
在 执行 过 程 中 移动 位 置 。 这 种 技术 只 在 早期 单 用 户 单 任务 系统 中 使 用 过 。 

2) 动态 地 址 重 定 位 

由 装 入 程序 实现 装载 代码 模块 的 加 载 , 把 它 装 入 分 配给 进程 的 主 存储 指定 区 域 ,但 对 链 
接 程序 处 理 过 的 应 用 程序 的 逻辑 地 址 则 不 做 任何 修改 ,程序 主 存 起 始 地 址 被 置 入 硬件 专用 
寄存 器 一 一 重 定位 寄存 器 ,如 图 6.7 所 示 。 程 序 执 行 过 程 中 ,每 当 CPU 引用 主 存 地 址 (访问 
程序 和 数据 ) 时 ,由 硬件 截取 此 逻辑 地 址 ,并 在 它 被 发 送 到 主 存储 器 之 前 加 上 重 定位 寄存 器 
的 值 ,以 便 实现 地 址 转换 , 称 为 动态 重 定 位 (Dynamic Relocating Address) ,地 址 转换 推迟 到 
最 后 的 可 能 时 刻 , 即 进程 执行 时 才 完 成 。 与 静态 地 址 重 定位 相 比 ,动态 地 址 重 定 位 具有 人 允许 
程序 在 主 存 中 移动 ,便于 程序 共享 和 主 存 利用 率 高 等 优点 。 










重 定位 寄存 器 ”| 操作 系统 








应 用 程序 





[=| CPU 

















逻辑 地 址 空间 物理 地 址 空间 
图 6.7 动态 地 址 重 定位 


在 多 道 程序 系统 中 ,可 用 的 主 存 空间 常常 被 许多 进程 共享 ,程序 员 编 程 时 不 可 能 事先 知 
道 程序 执行 时 的 物理 驻 留 位 置 ,而 且 必 须 允许 程序 因 对 换 或 空闲 区 收集 而 被 移动 ,这 些 现象 
都 需要 程序 的 动态 地 址 重 定位 , 即 允 许 正在 执行 的 程序 在 不 同时 刻 处 于 主 存 储 器 的 不 同位 
置 。 从 系统 效率 出 发 ,动态 地 址 重 定位 要 借助 于 硬件 地 址 转换 机 制 来 实现 , 重 定位 寄存 器 的 
内 容 通常 保存 在 进程 控制 块 中 ,每 当 执行 进程 上 下 文 切 换 时 ,当前 运行 进程 的 重 定 位 寄存 器 
中 的 内 容 与 其 他 相关 信息 一 起 被 保护 起 来 ,新 进程 的 重 定 位 寄存 器 的 内 容 会 被 恢复 ,这样 进 
程 就 在 上 次 中 断 的 位 置 恢 复 运 行 , 所 使 用 的 是 与 上 次 在 此 位 置 的 相同 的 主 存 基地 址 。 
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6.3.2 存储 保护 方式 


存储 保护 主要 涉及 防止 地 址 越界 和 控制 信息 正确 存 取 。 计 算 机 系统 中 存在 操作 系统 和 
多 个 应 用 程序 ,它们 在 主 存储 器 中 各 有 自己 的 存储 区 域 ,操作 系统 必须 对 主 存储 区 中 的 程序 
和 数据 进行 保护 ,以 确保 各 道 程序 只 能 访问 自己 的 主 存储 区 而 不 能 相互 干扰 ,从 而 避免 受到 
其 他 程序 有 意 或 无 意 的 破坏 。 无 论 采 用 何 种 地 址 重 定位 方式 ,通常 进程 运行 时 所 产生 的 所 
有 主 存 访 问 地 址 都 应 进行 检查 ,确保 进程 仅 访问 自己 的 主 存 区 ,这 就 是 地 址 越界 保护 。 地 址 
越界 保护 依赖 于 硬件 设施 ,常用 的 有 界 地 址 和 存储 键 。 如 何 保证 存 取 的 正确 性 呢 ? 进程 在 
访问 主 存 时 ,操作 系统 要 对 当前 进程 对 内 存 区 域 的 访问 权限 进行 检查 ,如 允许 读 、 写 .执行 
等 ,从 而 确保 数据 的 安全 性 和 完整 性 ,防止 有 意 或 无 意 的 误 操 作 破 坏 主 存 信息 ,这 就 是 信息 
存 取保 护 。 

存储 保护 方式 跟 具 体 的 存储 管理 机 制 关联 ,支持 多 道 程序 设计 的 存储 管理 技术 先后 出 
现 了 固定 分 区 存储 管理 .可 变 分 区 存储 管理 、 分 页 存储 管理 分 段 存储 管理 等 技术 ,下 面 依次 
介绍 。 

1. 分 区 式 存储 管理 机 制 及 内 存 保护 

分 区 式 存 储 管理 方式 又 分 为 固定 分 区 和 可 变 分 区 存储 管理 方式 。 固 定 分 区 存储 管理 的 
基本 思想 是 : 主 存 空间 预先 被 划分 成 数目 固定 不 变 的 分 区 ,各 分 区 的 大 小 不 等 ,每 个 分 区 只 
装 一 个 作业 , 若 多 个 分 区 中 都 装 有 作业 , 则 它们 可 以 并 发 执行 ,这 是 支持 多 道 程 序 设 计 的 最 
简单 的 存储 管理 技术 。 早 期 的 IBM 操作 系统 OS/MFT(Multiprogramming with a Fixed 
Number of Tasks) 就 采用 这 种 存储 管理 技术 。 

固定 分 区 存储 管理 的 缺点 是 由 于 预先 规定 了 分 区 的 大 小 ,使 得 大 作业 无 法 装 人 ,其 次 ， 
主 存 空 间 的 利用 率 不 高 ,作业 很 少 会 正好 填 满 分 区 。 

可 变 分 区 (Variable Partition) 存 储 管理 按照 作业 的 大 小 划分 分 区 ,但 分 区 划分 的 时 间 、 
大 小 ,位 置 都 是 动态 的 。 系 统 把 作业 装 入 主 存 时 ,根据 其 所 需要 的 主 存 容量 查看 是 否 有 足够 
的 空间 ,车 有 , 则 按 需 分 割 一 个 分 区 分 配给 此 作业 ,车 无 , 则 令 此 作业 等 待 主 存 资源 。 由 于 分 
区 的 大 小 是 按照 作业 的 实际 需求 量 而 定 的 , 且 分 区 的 数目 也 是 可 变 的 ,所 以 ,可 变 分 区 能 够 
克服 固定 分 区 中 的 主 存 资源 的 浪费 ,有 利于 多 道 程序 设计 .提高 主 存 资源 的 利用 率 。 使 用 可 
变 分 区 管理 的 一 个 例子 是 IBM 操作 系统 OS/IMVT(Multiprogramming with a Variable 
Number of Tasks) 。 

在 可 变 分 区 中 ,进程 装 入 的 是 一 个 连续 的 主 存 区 域 , 随 着 进程 不 断 地 装 入 和 撤销 ,导致 
主 存 中 常常 出 现 分 散 的 小 空闲 区 , 称 之 为 碎片 ”有 了 时 “碎片 "会 小 到 连 小 进程 都 容纳 不 下 ， 
这 样 不 但 浪费 主 存 资源 ,还 会 限制 进入 主 存 的 进程 数目 。 当 找 不 到 足够 大 的 空闲 区 来 装 
入 新 进程 时 ,可 采用 移动 技术 把 已 在 主 存 中 的 进程 分 区 连接 到 一 起 ,使 分 散 的 空闲 区 汇 
集成 片 , 这 就 是 移动 技术 ,采用 移动 技术 虽然 可 以 解决 “碎片 的 问题 ,但 是 处 理 器 的 开销 
太夫 。 

在 分 区 存储 管理 方式 下 ,系统 中 有 多 个 用 户 程序 在 内 存 中 ,每 个 进程 只 占用 一 个 分 区 ， 
不 存在 进程 存储 空间 的 交错 ,因此 在 存储 保护 时 ,可 借助 于 基 址 寄存 器 存储 当前 执行 进程 所 
在 分 区 的 起 始 地 址 ,借助 于 边界 寄存 器 存储 当前 执行 进程 所 在 分 区 的 上 边界 地 址 ,进程 运行 
时 产生 的 所 有 地 址 都 需 检 查 是 否 在 基 址 和 上 边界 之 间 , 若 不 在 则 报错 ,以 此 确保 每 个 进程 仅 
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能 访问 自己 的 分 区 ,如 图 6. 8 所 示 。 
用 这 种 方法 可 以 把 程序 完整 地 封闭 在 上 下 两 
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四 程序 R 内 存 区 
个 边界 地 址 空间 中 ,可 以 有 效 防止 一 个 用 户 程序 访 “| 吾 9 起 寺 在 Ee: 
问 其 他 程序 空间 。 如 果 使 用 多 对 基 址 和 边界 寄存 ， 和 
器 ,还 可 以 把 用 户 的 可 读 写 数据 区 与 只 读数 据 区 和 ”| ”边界 宁 丰 器 








程序 区 互相 隔离 .这 种 方法 可 以 防止 程序 自身 的 访 
问 错误 。 例 如 ,可 以 防止 向 程序 区 或 只 读数 据 区 的 图 6.8 分 区 存储 管理 
写 访问 。 

2. 分 页 存储 管理 机 制 及 内 存 保护 

为 了 解决 分 区 存储 管理 “碎片 ”问题 ,又 产生 了 分 页 存储 管理 。 采 用 分 页 存储 管理 允许 
程序 放 到 若干 不 相 邻 的 空闲 块 中 , 既 可 免除 移动 信息 工作 ,又 可 充分 利用 主 存 空间 ,消除 动 
态 分 区 法 中 的 “碎片 ”问题 ,从 而 提高 主 存 空间 的 利用 率 。 分 页 存储 管理 涉及 的 基本 概念 
如 下 。 

1) 页 面 

进程 逻辑 地 址 空间 分 成 大 小 相等 的 区 ,每 个 区 称 为 页 面 或 页 ,页 号 从 0 开始 依次 编号 。 

2) 页 框 

把 主 存 物 理 地 址 空间 分 成 大 小 相等 的 区 ,其 大 小 与 页 面 大 小 相等 ,每 个 区 是 一 个 物理 块 
或 页 框 , 块 号 从 0 开始 依次 编号 。 

3) 逮 辑 地 址 

分 页 存储 器 的 逻辑 地 址 由 两 部 分 组 成 : 页 号 和 页 内 偏 移 ,格式 如 图 6.9 所 示 。 

图 6.9 中 的 前 半 部 分 表示 地 址 所 在 页 面 的 编号 ,后 
半 部 分 表示 页 内 位 移 。 计 算 机 地 址 总 线 通常 是 32 位 ,页 

图 6.9 分 页 存储 管理 的 逻辑 地 址 ” 面 尺寸 若 规定 为 12 位 (页 长 4KB) ,那么 ,页 号 共 20 位 ， 
表示 地 址 空间 最 多 可 包含 22 个 页 面 。 

采用 分 页 存储 管理 ,逻辑 地 址 是 连续 的 ,用 户 在 编制 程序 时 仍 使 用 相对 地 址 ,不 必 考 虑 
如 何 分 页 ,由 硬件 地 址 转换 机 构 和 操作 系统 的 管理 需要 来 决定 页 面 尺 寸 , 从 而 确定 主 存 分 块 
大 小 。 进 程 在 主 存 中 的 每 个 页 框 内 的 地 址 是 连续 的 ,但 页 框 之 间 的 地 址 可 以 不 连续 ,进程 主 
存 地 址 由 连续 到 离散 的 变化 为 虚拟 存储 器 的 实现 奠定 了 基础 。 

4) 页 面 和 地 址 转换 

在 进行 存储 分 配 时 ,以 页 框 为 单位 ,进程 的 信息 有 多 少 页 ,那么 ,把 它 装 入 主 存 时 就 分 配 
多 少 块 ,虽然 进程 的 逻辑 地 址 分 成 页 面 后 是 连续 的 ,但 是 被 装 和 内存 后 的 对 应 物理 块 (页 框 ) 
未 必 紧 邻 , 即 进程 的 信息 按 页 面 分 散 存放 在 主 存 不 相 邻 的 页 框 中 ,那么 , 当 进 程 的 程序 和 数 
据 被 分 散 存放 在 主 存 中 后 ,其 页 面 与 被 分 配 的 页 框 如 何 建立 联系 呢 ? 逻辑 地 址 (页 面 ) 如 何 
转换 成 物理 地 址 (页 框 ) 呢 ? 进程 被 装 和 后 的 物理 地 址 空间 由 连续 变 为 离散 后 ,如 何 保证 程 
序 正确 执行 呢 ? 地 址 转换 仍然 采用 动态 重 定位 技术 ,让 程序 在 执行 时 动态 进行 地 址 变换 ,由 
于 程序 以 页 面 为 单位 存储 ,所 以 为 每 个 页 面 设立 一 个 重 定位 寄存 器 ,这 些 重 定位 寄存 器 的 集 
合 称 为 页 表 (Page Table) 。 页 表 是 操作 系统 为 进程 建立 的 ,是 程序 页 面 和 主 存 对 应 页 框 的 
对 照 表 ,页 表 中 的 每 一 栏 指明 程序 中 的 一 个 页 面 和 分 得 的 页 框 之 间 的 对 应 关系 。 使 用 页 表 
的 目的 是 把 页 面 映射 为 页 框 ,从 数学 角度 而 言 ,页 表 是 一 个 函数 ,其 变量 是 页 面 号 ,函数 值 是 





页 号 页 内 位 移 
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页 框 号 ,通过 页 表 可 以 把 逻辑 地 址 中 的 逻辑 页 面 域 蔡 换 成 物理 页 框 域 。 为 了 减 小 系统 开销 ， 
通常 不 用 硬件 而 是 直接 在 主 存 中 开辟 存储 区 存放 进程 页 表 , 系 统 另 设置 专用 硬件 一 一 页 表 
基 址 寄存 器 ,存放 运行 进程 的 页 表 起 始 地 址 ,以 加 快 地 址 转化 速度 。 系 统 应 为 主 存 中 的 进程 
进行 存储 分 配 ,并 建立 页 表 , 指 出 逻辑 地 址 页 号 与 主 存 页 框 号 之 间 的 对 应 关系 ,页 表 的 长 度 
随 进程 大 小 而 定 。 

进程 运行 前 由 系统 把 它 的 页 表 地 址 送 入 页 表 基 址 寄存 器 ,运行 时 借助 于 硬件 的 地 址 转 
换 机 构 , 按 页 面 动 态 地 址 重 定 位 , 当 CPU 获得 逻辑 地 址 后 ,由 硬件 自动 按 设 定 的 页 面 尺寸 
分 成 两 部 分 : 页 号 p 和 页 内 位 移 d, 先 从 页 表 基 址 寄存 器 找到 页 表 基 地 址 , 青 用 页 号 p 作为 
索引 查找 页 表 , 得 到 对 应 的 页 框 号 ,根据 关系 式 : 

物理 地 址 一 页 框 号 头 块 长 十 页 内 偏 移 

计算 出 欲 访问 的 主 存单 元 。 因 此 ,虽然 进程 存放 在 若干 个 不 连续 的 页 框 中 ,但 在 执行 过 程 中 
总 能 按 正 确 的 物理 地 址 进行 存 取 。 

如 图 6. 10 所 示 是 分 页 存储 管理 的 地 址 转换 ,在 实际 进行 地 址 转换 时 ,只 要 把 逻辑 地 址 
中 的 页 内 偏 移 d 作为 绝对 地 址 中 的 低地 址 ,根据 页 号 p 从 页 表 中 查 得 的 页 框 号 5 作为 绝对 
地 址 中 的 高 地 址 ,就 组 成 访问 主 存储 器 的 绝对 地 址 。 


逻辑 地 址 物理 地 址 


(Ge 一 -LT | ”上 -| 
| | 






































页 表 基 址 寄存 器 | | 0 



































主 存储 器 




















图 6.10 分 页 存储 管理 的 地 址 转换 


整个 系统 只 有 一 个 页 表 基 址 寄存 器 ,只 有 占用 CPU 的 进程 才 占 有 它 。 在 多 道 程序 中 ， 
当 某 道 程序 让 出 处 理 器 时 ,应 同时 让 出 此 寄存 器 供 其 他 进程 使 用 。 

5) 快 表 

页 表 可 存放 在 寄存 器 或 内 存 中 , 当 页 表 存 放 在 一 组 寄存 器 中 时 ,地 址 转换 只 要 从 寄存 器 
中 取 值 就 可 得 到 页 框 号 ,转换 速度 快 ,但 是 硬件 代价 高 ; 当 页 表 存 放 在 内 存 中 时 ,可 以 降低 
系统 开销 ,但 是 根据 逻辑 地 址 访问 物理 地 址 时 ,至 少 需要 访问 主 存 两 次 ,一 次 访问 页 表 , 一 次 
根据 物理 地 址 访问 指令 或 数据 ,访问 效率 低 。 

为 了 提高 运算 速度 ,在 硬件 中 设置 相 联 存储 器 ,用 来 存放 进程 最 近 访 问 的 部 分 页 表 项 ， 
称 为 转换 后 援 缓冲 (Translation Lookaside Buffer,TLB) 或 快 表 , 快 表 的 存 取 时 间 远 远 小 于 
主 存 ,速度 快 但 造价 高 ,容量 小 ,只 能 存放 几 十 个 页 表 项 , 快 表 项 包括 页 号 和 对 应 的 页 框 号 ， 
当 把 页 号 交 给 快 表 后 , 它 通 过 并 行 匹配 同时 对 所 有 快 表 项 进行 比较 ,如 果 找 到 ,就 立刻 输出 
页 框 号 ,如 果 找 不 到 ,再 查找 主 存 中 的 页 表 , 同 时 将 找到 的 页 号 和 页 框 号 登记 到 快 表 中 , 当 快 
表 已 满 且 要 登记 新 页 时 ,可 采用 “先进 先 出 ”等 策略 淘汰 旧 的 快 表 项 。 
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6) 存储 保护 

在 分 页 存储 管理 系统 中 ,存储 保护 可 以 从 两 个 方面 实现 ,一 个 方面 是 在 进行 地 址 变换 
时 ,程序 执行 产生 的 页 号 应 该 小 于 页 表 长 度 ,否则 视 为 越界 访问 ,有 点 类 似 于 基 址 - 限 长 存储 
保护 ; 另 一 方面 ,可 在 页 表 中 增加 存 取 控制 和 存储 保护 的 信息 ,通常 的 做 法 是 在 页 表 中 增加 
标志 位 ,指出 此 页 的 信息 只 读 / 读 写 / 只 可 执行 /不 可 访问 等 , 当 要 访问 某 页 时 , 先 判断 该 页 的 
存 取 控 制 和 存储 保护 信息 是 否 人 允许。 例如 ,和 欲 向 只 读 页 写 入 信息 则 指令 停止 执行 。 

3. 分 段 式 存储 管理 机 制 及 内 存 保护 

1) 程序 的 分 段 结构 

促使 存储 管理 方式 从 固定 分 区 到 可 变 分 区 ,从 分 区 方式 向 分 页 方式 发 展 的 主要 原因 是 
为 了 提高 存储 空间 利用 率 ,而 分 段 存储 管理 的 引入 则 主要 是 满足 用 户 ( 程 序 员 ) 编 程 和 使 用 
上 的 要 求 , 这 些 要 求 对 于 其 他 存储 管理 技术 来 说 难以 满足 。 在 分 页 存储 管理 中 ,经 链接 编辑 
处 理 得 到 一 维 地 址 结构 的 可 装配 目标 模块 ,这 是 从 0 开始 编 址 的 单一 连续 逻辑 地 址 空间 , 虽 
然 可 以 把 程序 划分 成 页 面 , 但 页 面 与 源 程序 并 不 存在 逻辑 关系 ,也 就 难以 对 源 程序 以 模块 为 
单位 进行 分 配 、 共 享 和 保护 。 事 实 上 ,程序 更 多 是 采用 分 段 结构 ,高 级 语言 往往 采用 模块 化 
程序 设计 方法 。 程 序 由 若干 程序 段 (模块 ) 组 成 ,例如 ,由 主 程序 段 . 子 程序 段 .数据 段 和 工作 
区 段 组 成 ,每 段 都 从 0 开始 编 址 ,有 各 自 的 名 字 和 长 度 , 且 实现 不 同 的 功能 。 

在 源 程序 中 ,可 用 符号 形式 (指出 段 名 和 入 口 ) 调 用 某 段 功能 , 源 程序 经 编译 或 汇编 后 ， 
仍 按照 自身 逻辑 关系 分 为 若干 段 ,每 段 有 一 个 段 号 , 段 之 间 的 地 址 不 一 定 连续 ,而 段 内 地 址 
是 连续 的 。 可 见 这 是 二 维 地 址 结构 ,模块 化 的 程序 被 装 入 物理 地 址 空间 后 , 仍 保持 二 维 地 址 
结构 ,这 种 地 址 结构 需要 编译 程序 的 支持 ,但 对 程序 员 而 言 是 透明 的 。 

2) 分 段 存 储 管理 的 基本 原理 

分 段 存储 管理 把 进程 的 逻辑 地 址 空间 分 成 多 段 , 提 
供 二 维 逻 辑 地 址 ,如 图 6. 11 所 示 。 

在 分 页 存储 管理 中 ,页 的 划分 , 即 逻 辑 地址 划分 成 页 图 6.11 分 段 存储 管理 的 逻辑 地 址 
号 页 内 位 移 , 是 用 户 不 可 见 的 ,连续 的 地 址 空间 将 根据 页 
面 的 大 小 自动 分 页 ; 而 在 分 段 存储 管理 中 ,地 址 结构 是 用 户 可 见 的 ,用 户 知道 逻辑 地 址 如 何 
划分 成 段 和 段 内 位 移 ,在 设计 程序 时 , 段 的 最 大 长 度 由 地 址 结构 规定 ,程序 中 所 人 允许 的 最 多 
段 数 会 受到 限制 ,例如 ,PDP-11/45 的 段 地 址 结构 为 : 段 号 占 3 位 , 段 内 位 移 占 13 位 ,一 个 
作业 最 多 分 为 8 段 ,各 段 长 度 达 8KB。 

分 段 存 储 管理 的 实现 基于 可 变 分 区 存储 管理 的 原理 。 可 变 分 区 以 整个 作业 为 单位 来 划 
分 和 连续 存放 ,也 就 是 说 ,作业 在 分 区 内 是 连续 存放 的 ,但 独立 作业 之 间 不 一 定 连 续 存 放 。 
而 分 段 方法 是 以 段 为 单位 来 划分 和 连续 存放 的 ,为 作业 的 各 段 分 配 一 个 连续 的 主 存 空间 ,而 
各 段 之 间 不 一 定 连 续 。 在 进行 存储 分 配 时 ,应 为 进入 主 存 的 作业 建立 段 表 ,各 段 在 主 存 中 的 
情况 可 由 段 表 来 记录 , 它 指 出 主 存 中 各 段 的 段 号 、 段 起 始 地 址 和 段 长 度 。 在 撤销 进程 时 , 回 
收 所 占用 的 主 存 空间 ,并 清除 此 进程 的 段 表 。 

段 表 项 实际 上 起 到 了 基 址 / 限 长 寄存 器 的 作用 ,进程 运行 时 通过 段 表 可 将 逻辑 地 址 转换 
成 物理 地 址 ,由 于 每 个 用 户 作 业 都 有 自己 的 段 表 ,地 址 转换 应 按 各 自 的 段 表 进行 类 似 分 页 存 
储 管理 ,也 设置 一 个 硬件 一 一 段 表 基 址 寄存 器 ,用 来 存放 当前 占用 处 理 器 的 作业 段 表 的 起 始 
地 址 和 长 度 , 分 段 存储 管理 的 地 址 转换 和 存储 保护 流程 如 图 6. 12 所 示 ,将 段 控制 寄存 器 中 
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的 段 表 长 度 与 逻辑 地 址 中 的 段 号 进行 比较 , 若 段 号 超过 段 表 长 度 则 触发 越界 中 断 , 再 利用 段 
表 项 中 的 段 长 与 逻辑 地 址 中 的 段 内 位 移 进 行 比较 ,检查 是 否 产生 越界 中 断 。 
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图 6.12 分 段 存储 管理 的 地 址 转换 


4. 虚拟 存储 管理 

1) 虚拟 存储 管理 的 概念 

前 面 介绍 的 存储 管理 方式 称 为 实 存 管理 ,只 有 将 进程 的 全 部 信息 装 入 主 存 后 才能 运行 。 
而 把 进程 的 全 部 信息 装 入 主 存 后 ,实际 上 并 非 同 时 使 用 ,有 些 部 分 甚至 从 不 使 用 ,将 进程 在 
运行 时 不 用 的 ,或 暂时 不 用 的 ,或 在 某 种 条 件 下 采用 的 程序 和 数据 ,全 部 驻 留 主 存 是 对 宝贵 
的 存储 资源 的 一 种 浪费 ,会 降低 主 存 利 用 率 ,这 种 做 法 很 不 合理 。 于 是 ,计算 机 专家 又 提出 
新 的 想法 : 不 必 装 入 进程 的 全 部 信息 ,而 仅 将 当前 使 用 部 分 先 装 入 主 存 , 其 余部 分 存放 在 磁 
盘 上 , 待 使 用 时 由 系统 自动 将 其 装 进来 ,这 就 是 虚拟 存储 管理 技术 的 基本 思路 。 当 进程 所 访 
问 的 程序 和 数据 在 主 存 中 时 ,可 顺利 执行 ,如 果 处 理 器 所 访问 的 程序 和 数据 不 在 主 存 中 ,为 
了 继续 执行 ,由 系统 自动 将 这 部 分 信息 从 磁盘 装 入 ,这 叫做 “部 分 装 入 ”, 如 车 此 刻 没有 足够 
的 空闲 物理 空间 , 便 把 主 存 中 暂时 不 用 的 信息 移 至 磁盘 以 腾 出 内 存 空 间 , 这 叫 *“ 部 分 替换 ”。 
如 果 “ 部 分 装 入 ,部 分 替换 ”能够 实现 ,那么 ,当主 存 空 间 小 于 进程 的 需要 量 时 ,进程 也 能 运 
行 ; 更 进一步 , 当 多 个 进程 的 总 长 超出 主 存 总 容量 时 ,也 可 将 进程 全 部 装 入 主 存 ,实现 多 道 
程序 运行 。 这 样 ,不仅 能 充分 地 利用 主 存 空间 ,而 且 用 户 编程 时 不 必 考 虑 物理 空间 的 实际 容 
量 , 允 许 用 户 的 逻辑 地 址 空间 大 于 主 存 物 理 地 址 空间 ,对 于 用 户 而 言 ,好 像 计 算 机 系统 具有 
一 个 容量 硕大 的 主 存储 器 , 称 其 为 “虚拟 存储 器 "(Virtual Memory)。 

虚拟 存储 器 可 定义 如 下 : 在 具有 层次 结构 存储 器 的 计算 机 系统 中 ,自动 实现 部 分 装 和 人 
和 部 分 蔡 换 功能 ,能 从 逻辑 上 为 用 户 提供 一 个 比 物理 主 存 容 量 大 得 多 的 、 可 寻 址 的 “ 主 存储 
器 ”。 实 际 上 ,虚拟 存储 器 对 用 户 隐 蔽 可 用 物理 存储 器 的 容量 和 操作 细节 ,虚拟 存储 器 的 容 
量 与 物理 主 存 大 小 无 关 , 而 受 限 于 计算 机 的 地 址 结构 和 可 用 的 磁盘 容量 ,如 Intel x86 的 地 
址 线 是 32 位 , 则 程序 可 寻 址 范围 是 4GB。 

如 图 6. 13 所 示 是 虚拟 存储 器 的 概念 图 ,其 中 ,逻辑 地 址 是 从 进程 角度 所 看 到 的 逻辑 主 
存单 元 ,而 物理 地 址 是 从 处 理 器 角度 所 看 到 的 物理 主 存单 元 ,虚拟 地 址 可 以 说 是 将 逻辑 地 址 
映射 到 物理 地 址 的 一 种 手段 。 逻 辑 地 址 空间 是 程序 员 的 编程 空间 ,物理 地 址 是 程序 的 执行 
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空间 ,虚拟 地 址 空间 等 同 于 实际 物理 主 存 加 部 分 硬盘 区 域 所 组 成 的 存储 空间 。 
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图 6.13 虚拟 存储 器 


进程 的 信息 不 全 部 装 入 主 存 时 能 否 保 证 程序 正确 运行 呢 ? 早 在 1968 年 ,P. Denning 就 
开始 着 手 研究 程序 运行 时 的 局 部 性 原理 ,发 现 程 序 和 数据 的 访问 都 有 聚集 成 群 的 倾向 。 某 
存储 单元 被 使 用 之 后 ,其 相 邻 的 存储 单元 也 很 快 又 被 访问 ( 称 为 空间 局 限 性 , Spatial 
Locality) ,或 者 最 近 访 问 过 的 程序 代码 和 数据 很 快 又 被 访问 ( 称 为 时 间 局 限 性 ,Temporal 
Locality) 。 对 程序 的 执行 进行 分 析 可 以 发 现 : 第 一 ,程序 中 只 有 少量 分 支 和 过 程 调用 ,大 都 
是 顺序 执行 的 指令 ; 第 二 ,程序 往往 含有 若干 循环 结构 ,由 少量 代码 组 成 ,而 被 多 次 执行 ; 
第 三 ,过 程 调用 的 深度 限制 在 小 范围 内 ,因而 ,指令 引用 通常 被 局 限 在 少量 的 过 程 中 ; 第 四 ， 
许多 计算 涉及 数组 ,记录 之 类 的 数据 结构 ,对 它们 的 连续 引用 是 对 位 置 相 邻 的 数据 项 的 操 
作 ; 第 五 ,程序 中 有 些 部 分 彼此 互 斥 ,不 是 每 次 运行 时 都 用 到 ,例如 ,出错 处 理 部 分 在 正常 情 
况 下 用 不 到 。 种 种 情况 说 明 ,程序 具有 局 部 性 ,进程 运行 时 没有 必要 把 全 部 信息 调和 人 主 存 ， 
只 装 入 一 部 分 进程 信息 的 假设 是 合理 的 ,此 时 ,只 要 调度 得 当 , 不 仅 可 正确 运行 进程 ,而 且 能 
在 主 存 中 放置 更 多 进程 ,充分 利用 处 理 器 和 存储 空间 。 虚 拟 存储 器 是 基于 程序 局 部 性 原理 
的 一 种 假想 的 而 非 物理 存在 的 存储 器 ,其 主要 任务 是 基于 程序 局 部 性 特点 , 当 进 程 使 用 某 部 
分 地 址 空间 时 ,保证 将 相应 部 分 加 载 至 主 存 中 ,这 种 将 物理 空间 和 逻辑 空间 分 开 编 制 、. 互 相 
隔离 ,但 又 统一 管理 和 使 用 的 技术 为 用 户 编程 提供 了 极 大 的 方便 。 

虚拟 存储 器 的 思想 早 在 20 世纪 60 年 代 初 就 在 英国 Atlas 计算 机 上 出 现 ,到 20 世纪 60 
年 代 中 期 , 较 完整 的 虚拟 存储 器 在 分 时 系统 MULTICS 和 IBM 系列 操作 系统 中 得 到 实现 ， 
20 世纪 70 年 代 开 始 推广 应 用 ,逐步 为 广大 计算 机 研制 者 和 用 户 所 接受 。 这 项 技术 不 仅 用 
于 大 型 计算 机 ,也 逐步 用 到 微型 计算 机 系统 中 。 为 了 实现 虚拟 存储 器 ,必须 解决 好 以 下 问 
题 : 主 存 和 辅 存 的 统一 管理 问题 .逻辑 地 址 到 物理 地 址 的 转换 问题 .部 分 装 入 和 部 分 替换 问 
题 。 目 前 ,虚拟 存储 管理 主要 采用 以 下 几 种 技术 实现 : 请 求 分 页 ,请 求 分 段 和 请 求 段 页 虚拟 
存储 管理 。 

2) 请 求 分 页 存储 管理 

(1) 请 求 分 页 虚拟 存储 管理 的 硬件 支持 

操作 系统 的 存储 管理 依靠 低层 硬件 的 支撑 来 完成 任务 ,此 硬件 称 为 主 存 管理 部 件 
(Memory Management Unit, MMU), 它 提供 地 址 转换 和 存储 保护 功能 ,并 支持 虚拟 存储 管 
理 和 多 任务 管理 。MMU 由 一 组 集成 电路 芯片 组 成 ,逻辑 地 址 作为 输入 ,物理 地 址 作为 输 
出 ,直接 送 达 总 线 , 对 主 存单 元 进行 寻 址 ,其 位 置 和 功能 如 图 6. 14 所 示 ,其 内 部 执行 过 程 如 
图 6.15 所 示 。MMU 的 主要 功能 列举 如 下 。 
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CPU 送 入 的 逻辑 地 址 
| 0010 | 000000000100 











页 号 页 框 号 在 主 存 否 





0 010 1 
1 001 1 
2 110 1 
3 000 1 
4 100 1 
5 011 1 
6 000 0 
人 0 
8 1 
9 0 










































































CPU 将 逻辑 地 址 送 至 MMU 
CPU 000 
101 
| 内 存 De 
MMU 
\ 
MMU 将 物理 地 址 送 至 主 存 [ no | 000000000100 
图 6.14 MMU 的 位 置 和 功能 图 6.15 16 个 4KB 页 面 情况 下 


MMU 的 内 部 操作 


管理 硬件 页 表 基 址 寄存 器 

每 当 发 生 进程 上 下 文 切换 时 ,系统 负责 把 将 要 运行 的 进程 的 页 表 基 地 址 装 入 硬件 页 表 
基 址 寄存 器 ,此 页 表 便 成 为 活动 页 表 ,MMU 只 对 硬件 页 表 基 址 寄存 器 所 指出 的 活动 页 表 进 
行 操作 。 

@ 分 解 逻辑 地 址 

把 逻辑 地 址 分 解 为 页 面 号 和 页 内 位 移 , 以 便 进 程 地 址 转换 。 

@ 管理 块 表 

对 TLB 进行 管理 ,一 是 根据 页 号 查找 快 表 , 找 到 相应 的 页 框 后 去 拼接 物理 地 址 ; 二 是 
执行 TLB 的 基本 操作 , 即 装 入 表 目 和 清除 表 目 ,每 次 发 生 快 表 查 找 不 命中 的 情况 后 , 待 缺 页 
中 断 处 理 结束 ,把 相应 的 页 面 和 页 框 号 装 入 。 此 外 ,每 次 写 硬 件 页 表 基 址 寄存 器 时 ,负责 
除 快 表 项 ,将 TLB 清空 。 

@ 访问 页 表 

当 TLB 不 命中 时 ,根据 页 表 基 址 寄存 器 直接 访问 进程 页 表 , 若 所 需 页 面 已 装 和 人 , 则 可 访 
问 主 存 完成 指令 ,同时 ,把 此 页 面 信息 装 入 TLB。 





@ 发 出 相应 中 断 

当 查 出 页 表 中 有 页 失效 位 或 页 面 访问 越界 时 ,发 出 缺 页 中 断 或 越界 中 断 ,并 将 控制 权 交 
给 内 核 存储 管理 。 

@) 管理 特征 位 


负责 设置 和 检查 页 表 中 的 引用 位 、 修 改 位 有效 位 和 保护 权限 位 等 各 个 特征 位 。 
下 面 考察 MMU 的 工作 过 程 。 在 图 6. 15 中 ,给 出 一 个 逻辑 地 址 8196( 二 进 制 表 示 为 
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0010000000000100) ,MMTU 进行 映射 ,输入 的 16 位 逻辑 地 址 被 解释 为 4 位 页 号 和 12 位 页 
内 位 移 。 用 页 号 作为 索引 , 找 出 虚 页 所 对 应 的 页 框 号 ,如 果 “ 在 主 存 否 "位 为 1, 表 明 此 页 在 
主 存 ,把 页 框 号 复制 到 输出 寄存 器 的 高 3 位 ,再 加 上 逻辑 地 址 中 的 12 位 页 内 偏 移 ,生成 15 
位 的 物理 地 址 (二 进 制 表 示 为 110000000000100) ,并 把 它 送 到 主 存 总 线 ; 如 果 “ 在 主 存 否 ”位 
为 0, 则 将 触发 缺 页 中 断 , 由 操作 系统 进行 缺 页 处 理 。 

(2) 请 求 分 页 虚拟 存储 管理 的 基本 原理 

分 页 虚拟 存储 管理 将 进程 信息 的 副本 存放 在 辅助 存储 器 上 , 当 它 被 调度 投入 运行 时 ,并 
不 是 把 程序 和 数据 一 次 性 全 部 装 入 主 存 ,而 是 仅 装 入 当前 使 用 的 页 面 ,进程 执行 过 程 中 访问 
到 不 在 主 存 中 的 页 面 时 ,再 把 所 需 信息 动态 地 装 入 。 目 前 常用 的 分 页 虚拟 存储 管理 是 请 求 
分 页 (Demand Paging) ,采用 这 种 存储 管理 方式 时 若 需 要 执行 不 在 主 存 的 某 条 指令 或 使 用 
某 个 数据 时 ,系统 会 产生 缺 页 (Page Default) 中 断 ,系统 中 断 处 理 程序 从 磁盘 中 把 此 指令 或 
数据 所 在 的 页 面 装 入 ,这 样 做 能 够 保证 用 不 到 的 页 面 不 会 被 装 入 主 存 。 

请 求 分 页 存储 管理 与 分 页 实 存 管理 不 同 , 仅 将 进程 当前 使 用 部 分 装 入 内 存 , 其 余部 分 存 
储 在 磁盘 上 ,这 势必 会 发 生 某 些 页 面 不 在 主 存 中 的 情况 。 那 么 ,如 何 发 现 页 面 不 在 主 存 中 
呢 ? 所 采用 的 方法 是 : 扩充 页 表 项 的 内 容 , 增 加 驻 留 标 志 位 ,又 称 页 失效 异常 位 ,用 来 指出 
页 面 是 否 装 入 主 存 。 当 访问 一 个 页 面 时 ,如 果 某 页 的 驻 留 标志 位 为 1, 表 示 此 页 已 经 在 主 存 
中 ,可 被 正常 访问 ; 如 果 某 页 的 驻 留 标志 位 为 0, 不 能 立即 访问 ,产生 缺 页 异常 ,操作 系统 根 
据 磁 盘 地 址 将 这 个 页 面 调 入 主 存 ,然后 重新 启动 相应 的 指令 。 那 么 ,如 何 查 找 页 面 对 应 的 磁 
盘 地 址 呢 ? 磁盘 的 物理 地 址 由 磁盘 机 号 、 柱 面 号 、 磁 头号 和 扇 区 号 所 组 成 ,通常 规定 扇 区 的 
长 度 等 于 页 面 的 长 度 ,页 面 与 磁盘 物理 地 址 的 对 应 表 称 为 外 页 表 , 由 操作 系统 管理 。 进 程 启 
动 运 行 前 系统 为 其 建立 外 页 表 , 并 把 进程 程序 页 面 装 入 辅助 存储 器 ,外 页 表 也 按 进程 号 的 顺 
序 排列 。 为 了 节省 主 存 空 间 , 外 页 表 可 存放 在 磁盘 中 , 当 发 生 缺 页 中 断 需要 查 用 时 才 被 
调 入 。 

缺 页 中 断 是 当 发 现 当前 访问 页 面 不 在 主 存 时 由 硬件 所 产生 的 一 种 特殊 中 断 信 号 ,CPU 
通常 在 一 条 指令 执行 完成 后 才 检 查 是 否 有 中 断 到 达 , 也 就 是 说 只 能 在 两 条 指令 之 间 响 应 中 
断 , 但 缺 页 中 断 却 是 在 指令 执行 期 间 产 生 并 获得 系统 处 理 的 。 而 且 , 一 条 指令 可 能 涉及 多 个 
页 面 ,例如 ,指令 本 身 跨 页 .指令 所 处 理 的 数据 跨 页 ,完全 有 可 能 在 执行 一 条 指令 的 过 程 中 发 
生 多 次 缺 页 异常 。 

为 了 对 页 面 实施 保护 和 淘汰 等 各 种 控制 ,可 在 页 表 中 增加 标志 位 ,如 修改 位 、 引 用 位 和 
访问 权限 位 等 ,用 来 跟踪 页 面 使 用 情况 。 当 页 面 被 修改 后 ,硬件 自动 设置 修改 位 , 当 此 页 被 
调 出 主 存 时 必须 先 被 写 回 磁盘 ,引用 位 则 在 页 面 被 引用 ( 读 或 写 ) 时 设置 ,其 值 帮助 系统 进行 
页 面 淘汰 ,访问 权限 位 则 限定 特定 页 面 允许 的 访问 权限 (如 读 、 写 ,执行 等 ) 。 

可 见 , 在 请 求 分 页 虚拟 存储 管理 中 ,页 表 中 存放 的 是 把 逻辑 地 址 转换 成 物理 地 址 时 硬件 
所 需要 的 各 类 信息 ,其 作用 主要 有 : 

@ 获得 页 框 号 以 实现 虚实 地 址 转换 。 

@ 设置 各 种 访问 控制 位 ,对 页 面 信 息 进 行 保护 。 

@ 设置 各 种 标志 位 来 实现 相应 的 控制 功能 (如 缺 页 标志 、 修 改 标志 、 引 用 标志 、 锁 定 标 
志和 淘汰 标志 等 ) 。 

下 面 讨论 使 用 快 表 、 页 表 存 放 在 主 存 的 情况 下 ,请 求 分 页 虚实 地 址 转换 的 过 程 。 当 进程 
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被 调度 到 CPU 上 运行 时 ,操作 系统 自动 把 此 进程 PCB 中 的 页 表 起 始 地 址 装 和 人 硬件 页 表 基 
址 寄存 器 中 ,此 后 ,进程 开始 运行 并 要 访问 某 个 虚 地 址 ,MMU 工作 , 它 将 完成 虚线 框 内 的 任 
务 , 如 图 6.16 所 示 。 










































































































































































! | 
一 一 : 进程 切换 时 装 入 ，” 快 表 | 
CPU 逻辑 地 址 -十 一 
人 || 0) 过 | | 
(1D 分解 地 址 ! 快 表 。| 装 入 快 表 | 
! t !， 主 存 (用 户 区 ) 
| 运行 进程 页 表 基 址 | | | 运行 进程 
TR royhomm tai | 
运行 进程 页 表 | 页 框 号 | 页 内 偏 移 | 
凡人 和 下 ! | 
! ' 
将 长 LS 的 
由 缺 页 中 煌 处 理 











图 6.16 请 求 分 页 虚实 地 址 转换 


@OD MMU 接收 CPU 传送 过 来 的 逻辑 地 址 并 自动 按 页 面 大 小 把 它 从 某 位 起 分 解 成 两 部 
分 : 页 号 和 页 内 位 移 。 

@ 以 页 号 为 索引 搜索 快 表 TLB。 

@ 如 果 命 中 ,立即 送出 页 框 号 ,并 与 页 内 位 移 拼 接 成 物理 地 址 ,然后 进行 访问 权限 的 检 
查 , 如 获 通过 ,进程 就 可 以 访问 物理 地 址 。 

@ 如 果 不 命 中 ,由 硬件 以 页 号 为 索引 搜索 进程 页 表 , 页 表 基 址 由 硬件 页 表 基 址 寄存 器 
指出 。 

@@ 如 果 在 页 表 中 找到 此 页 面 ,说 明 所 访问 页 面 已 在 主 存 中 ,可 送出 页 框 号 ,并 与 页 内 位 
移 拼接 成 物理 地 址 ,然后 进行 访问 权限 检查 ,如 获 通 过 ,进程 就 可 以 访问 物理 地 址 ,同时 要 把 
这 个 页 面 的 信息 装 入 快 表 TLB, 以 备 再 次 访问 。 

@ 如 果 发 现 页 表 中 的 对 应 页 面 失效 ,MMU 发 出 缺 页 中 断 ,请 求 操作 系统 进行 处 理 ， 
MMU 工作 到 此 结束 。 

在 分 页 虚拟 存储 系统 中 ,由 于 页 面 在 需要 时 是 根据 进程 的 请 求 装 入 主 存 的 ,因此 称 为 请 
求 分 页 虚拟 存储 管理 ,这 种 技术 的 优点 是 : 进程 的 程序 和 数据 可 按 页 分 散 存放 在 主 存 中 , 既 
有 利于 提高 主 存 利 用 率 , 又 有 利于 多 道 程序 运行 。 这 种 技术 的 缺点 是 : 要 有 一 定 的 硬件 支 
持 , 要 进行 缺 页 中 断 处 理 , 机 器 成 本 增加 ,系统 开销 加 大 ,此 外 ,页 内 会 出 现 碎 片 , 如 果 页 面 较 
大 , 则 主 存 的 损失 仍然 很 大 。 

3) 请 求 分 段 存储 管理 

请 求 分 段 存储 管理 也 为 用 户 提供 比 主 存 实 际 容量 大 得 多 的 虚拟 主 存 空间 。 请 求 分 段 虚 
拟 存储 系统 把 作业 的 所 有 分 段 的 副本 都 存放 在 辅助 存储 器 中 , 当 作 业 被 调度 投入 运行 时 , 首 
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先 把 当前 需要 的 段 装 人 主 存在 执行 过 程 中 访问 到 不 在 主 存 的 段 时 再 将 其 动态 装 入 。 因 此 
段 表 中 必须 增设 供 管理 使 用 的 若干 表 项 ,如 特征 位 \ 存 取 权 限 、 扩 充 位 \ 标 志 位 、 主 存 起 始 地 
址 和 段 长 等 。 其 中 ,特征 位 指示 段 是 否 在 主 存 中 , 存 期 权限 给 出 段 的 可 访问 模式 ,扩充 位 指 
出 段 可 否 动态 扩充 ,标志 位 又 分 为 修改 位 访问 位 、 可 和 否 移动 位 等 。 

有 关 请 求 分 段 存储 管理 的 地 址 转换 和 存储 保护 这 里 不 作 详 述 。 


6.4 用 户 身份 认证 


身份 认证 是 操作 系统 提供 的 第 一 道 安全 防线 ,可 以 防止 非 授权 用 户 登 录 系统 ,在 操作 系 
统 中 ,身份 认证 一 般 是 在 用 户 登 录 时 发 生 , 系 统 提示 用 户 输入 口令 ,然后 判断 输入 的 口令 与 
系统 中 存储 的 该 用 户 的 口令 是 否 一 致 ,这 种 口令 机 制 是 简便 易 行 的 鉴别 手段 ,但 比较 脆弱 ， 
较为 安全 的 身份 认证 机 制 如 一 次 性 口令 机 制 、 生 物 认 证 等 已 经 取得 长 足 进 展 ,逐步 达到 了 实 
用 阶段 ,有 关 身 份 认证 的 方式 在 第 3 章 中 已 经 作 了 详细 介绍 ,这 里 不 再 袭 述 。 


6.5 访问 控制 


在 操作 系统 领域 中 ,访问 控制 一 般 涉及 自主 访问 控制 .强制 访问 控制 .基于 角色 的 访问 
控制 三 种 形式 。 有 关 访 问 控制 的 基本 原理 和 实现 方式 的 内 容 在 第 4 章 已 经 作 了 详细 介绍 ， 
这 里 不 再 袭 述 。 


6.6 审 计 


6.6.1 审计 的 概念 


审计 是 模拟 社会 监督 机 制 而 引入 计算 机 系统 中 的 ,是 指 对 系统 中 安全 相关 的 活动 进行 
记录 ,检查 及 审核 。 审 计 的 主要 目的 是 检测 非法 用 户 对 计算 机 系统 的 入 侵 行为 以 及 合法 用 
户 的 误 操作 。 和 审计 能 够 完整 记录 涉及 系统 安全 的 操作 行为 ,是 一 种 确保 系统 安全 的 事后 追 
查 手段 。 审 计 为 系统 进行 事故 原因 的 查询 、 定 位 ,事故 发 生前 的 预测 、 报 警 以 及 事故 发 生 之 
后 的 实时 处 理 提供 了 详细 可 靠 的 依据 和 支持 。 

审计 是 操作 系统 安全 的 一 个 重要 方面 ,美国 国防 部 的 橘 皮 书 中 就 明确 要 求 “ 可 信 计 算 机 
必须 向 授权 人 员 提 供 一 种 能 力 ,以 便 对 访问 、 生 成 或 泄露 秘密 或 敏感 信息 的 任何 活动 进行 审 
计 , 根 据 一 个 特定 机 制 或 特定 应 用 的 审计 要 求 ,可 以 有 选择 地 获取 审计 数据 。 但 审计 数据 中 
必须 有 足够 细 的 粒度 ,以 支持 对 一 个 特定 个 体 已 发 生 的 动作 或 代表 该 个 体 发 生 的 动作 进行 
追踪 ”。 在 我 国 GB 17859-1999 中 也 有 相应 的 要 求 。 

审计 通常 和 报警 功能 结合 起 来 ,每 当 有 违反 系统 安全 的 事件 发 生 或 者 有 涉及 系统 安全 
的 重要 操作 进行 时 ,就 及 时 向 安全 操作 员 终 端 发 送 相应 的 报警 信息 。 审 计 也 是 入 侵 检 测 系 
统 ,数字 取证 ,网络 安 全 管理 等 系统 的 基本 构件 之 一 。 
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审计 过 程 一 般 是 一 个 独立 的 过 程 , 它 与 系统 其 他 功能 相隔 离 ,同时 要 求 操作 系统 必须 能 
够 生成 .维护 及 保护 审计 过 程 ,使 其 免 遭 修改 、 非 法 访问 及 毁坏 ,特别 要 保护 审计 数据 ,要 严 
格 限 制 未 经 授权 的 用 户 访 问 。 


6.6.2 审计 事件 


系统 将 所 有 要 求 审计 或 可 以 审计 的 用 户 动 作 都 归纳 成 一 个 个 可 区 分 、 可 识别 、 可 标志 的 
审计 单位 , 称 为 审计 事件 。 审 计 事 件 是 系统 审计 用 户 操 作 的 最 基本 单位 。 

例如 为 了 记录 创建 文件 这 一 事件 ,系统 可 以 设置 标记 为 create 的 审计 事件 , 当 用 户 通过 
系统 调用 create(“filel1”,mode) 或 open(“filel1”,O_CREATE,mode) 创 建文 件 时 ,内 核 就 会 
将 该 事件 记录 下 来 。 

多 数 操作 系统 都 在 内 核 态 和 用 户 态 记录 审计 事件 ,审计 事件 通常 包括 系统 事件 、 登 录 事 
件 .资源 访问 、 特 权 使 用 ,账号 管理 和 策略 更 改 等 类 别 。 表 6. 1 给 出 了 具体 描述 。 





表 6.1 审计 事件 

类 别名 称 包括 的 主要 事件 
系统 事件 系统 启动 ,关机 故障 等 
登录 事件 成 功 登录 、 各 类 失败 登录 、 当 前 登录 等 
资源 访问 打开 、 关 闭 , 修 改 资源 等 

操作 进程 句柄 等 的 创建 与 终止 ,对 外 设 的 操作 、 程 序 的 安装 和 删除 等 
特权 使 用 特权 的 分 配 ,使 用 和 注销 等 
账号 管理 创建 .删除 用 户 或 用 户 组 ,以 及 修改 其 属性 
策略 更 改 审计 安全 等 策略 的 改变 


审计 机 制 一 般 对 系统 定义 一 个 固定 审计 事件 集 , 即 必须 审计 事件 的 集合 。 系 统 审 计 
员 可 以 通过 系统 提供 的 工具 自 定义 需要 审计 的 事件 ,用 户 的 行为 一 旦 落 入 用 户 事件 集 或 
系统 固定 审计 事件 集中 ,系统 就 会 将 这 一 信息 记录 下 来 ,否则 系统 将 不 对 该 事件 进行 
审计 。 

审计 过 程 会 增 大 系统 的 开销 (CPU 时 间 和 存储 空间 ) ,如 果 设 置 的 审计 事件 过 多 ,势必 
使 系统 的 性 能 相应 地 下 降 很 多 (例如 响应 时 间 ,运行 速度 等 ), 所 以 在 实际 设置 过 程 中 ,审计 
机 制 应 是 对 用 户 在 系统 中 行为 的 一 种 有 选择 的 记载 ,要 选择 最 主要 的 事件 加 以 审计 ,不 能 设 
置 太 多 的 审计 事件 ,以 免 过 多 影响 系统 性 能 。 系 统 审计 员 可 以 通过 设置 事件 标准 ,确定 对 系 
统 中 哪些 用 户 或 哪些 事件 进行 审计 ,审计 结果 存放 于 审计 日 志文 件 中 ,审计 结果 可 以 按 要 求 
的 报表 形式 打印 出 来 。 


6.6.3 审计 记录 和 审计 日 志 


审计 记录 是 指 当 审计 事件 发 生 时 ,由 审计 系统 用 审计 日 志 记 录 相 关 信息 。 一 般 应 包括 
如 下 信息 : 事件 的 日 其 和 时 间 、 代 表 正在 进行 事件 的 主体 的 唯一 标识 符 、 事 件 类 型 .事件 的 
成 功 与 失败 等 。 对 于 标志 和 鉴别 事件 ,审计 记录 应 该 记录 下 事件 发 生 的 源 地 点 (如 终端 标识 
符 )。 对 于 涉及 客体 操作 的 事件 ,审计 记录 应 该 包含 客体 名 等 信息 。 

审计 日 志 是 存放 审计 结果 的 二 进 制 结构 文件 ,每 个 文件 包含 多 条 记录 , 当 审 计 日 志 长 度 
超过 一 定 大 小 ,系统 会 按照 预先 设置 好 的 路 径 和 命名 规则 产生 一 个 新 的 日 志文 件 。 
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【 例 6-2〗 Windows XP 的 审计 系统 及 审计 日 志 。 

Windows XP 的 审计 系统 由 操作 系统 内 部 的 安全 参考 监视 器 (Security Reference 
Monitor,SRM) 、 本 地 安全 中 心 (Local Security Authority, LSA) 和 事件 记录 器 (Event 
Logger) 等 模块 组 成 。LSA 负责 管理 审计 策略 ,在 每 次 审计 事件 发 生 时 ,审计 日 志 记录 由 
SRM 和 LSA 根据 相应 系统 或 应 用 的 通知 生成 ,记录 先 被 传输 到 LSA ,经 过 LSA 处 理 后 转 
发 给 事件 记录 存储 。Windows XP 的 审计 日 志 主 要 分 为 系统 日 志 、 安 全 日 志和 应 用 日 志 三 
类 ,分 别 记 录 有 关 操 作 系统 事件 .安全 事件 和 应 用 事件 的 发 生 情 况 ,审计 记 录 包 含 的 内 容 如 
表 6.2 所 示 。 


表 6.2 Windows XP 的 审计 系统 





字段 名 称 内 容 范例 

类 型 本 条 记录 内 容 的 基本 类 型 ,主要 包括 错误 ,警告 .信息 或 错误 
正确 审核 .失败 审核 

日 期 事件 发 生 时 的 年 月 日 2015-8-20 

时 间 事件 发 生 时 的 小 时 、 分 、 秒 21:36:59 

来 源 通报 事件 的 系统 或 应 用 程序 Service Control Manager 

分 类 事件 分 类 登录 /注销 

事件 事件 编号 101 

用 卢 事件 涉及 的 用 户 SYSTEM 

计算 机 事件 涉及 的 计算 机 My Computer 


6.6.4 一 般 操 作 系统 审计 的 实现 


实现 审计 时 ,首先 要 解决 的 问题 是 如 何 保证 所 有 安全 相关 事件 都 能 被 审计 。 我 们 知道 
在 一 般 的 多 用 户 多 进程 操作 系统 (如 UNIX、Linux 等 ) 中 ,用 户 程序 与 操作 系统 的 唯一 接口 
是 系统 调用 ,也 就 是 说 当 用 户 请 求 系统 服务 时 ,必须 经 过 系统 调用 。 因 此 ,在 系统 调用 的 总 
入 口 处 ( 称 作 审 计 点 ) 增 加 审计 控制 ,就 可 以 成 功 地 审计 系统 调用 ,也 就 是 成 功 地 审计 了 系统 
中 所 有 使 用 内 核 服务 的 事件 。 

系统 中 有 一 些 特权 命令 也 属于 可 审计 事件 ,而 通常 一 个 特权 命令 需要 使 用 多 个 系统 
调用 ,逐个 审计 所 用 到 的 系统 调用 ,会 使 审计 数据 复杂 而 难于 理解 ,审计 员 很 难 判 断 出 命 
令 使 用 情况 。 因 此 虽然 系统 调用 的 审计 已 经 十 分 充分 ,特权 命令 的 审计 仍然 必要 。 为 了 
实现 对 特权 命令 的 审计 ,可 以 在 被 审计 的 特权 命令 的 每 个 可 能 的 出 口 处 增加 一 个 新 的 系 
统 调 用 ,专门 用 于 该 命令 的 审计 。 当 发 生 可 审计 事件 时 ,审计 点 调用 审计 函数 并 向 审计 
进程 发 消息 ,审计 进程 是 一 个 守护 进程 ,完成 审计 信息 的 缓冲 、 存 储 、 归 档 工 作 ,如 图 6. 17 
所 示 。 

一 般 情况 下 ,审计 在 系统 开机 引导 时 就 会 自动 开启 ,审计 管理 员 可 以 随时 关闭 审计 功 
能 。 审 计 功 能 被 关闭 后 ,任何 用 户 的 任何 动作 就 不 再 处 于 审计 系统 的 监视 下 ,也 不 再 记录 任 
何 审计 信息 。 

系统 在 审计 时 ,要 将 审计 信息 写 入 日 志 中 ,自然 会 给 系统 带 来 时 间 上 的 额外 开销 ,影响 
系统 的 性 能 。 为 了 将 这 种 时 间 开 销 减 少 到 最 低 程 度 , 审 计 系 统 不 必 每 次 有 一 条 记录 时 就 立 
即 写 入 审计 日 志文 件 中 ,可 在 系统 中 开辟 一 片 审 计 缓 冲 区 。 系 统 在 大 多 数 情况 下 只 需 将 审 
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图 6.17 审计 系统 架构 


计 信 息 写 入 审计 缓冲 区 中 ,只 有 在 缓冲 区 已 经 写 满 或 者 内 容 达 到 一 定 的 限度 时 ,审计 进程 才 
一 次 性 地 将 审计 缓冲 区 中 的 有 效 内 容 全 部 写 人 日 志文 件 中 。 

系统 审计 员 可 以 根据 需要 选择 审计 信息 ,用 文档 或 报告 的 形式 打印 出 来 , 供 各 种 分 析 需 
要 ,同时 也 可 以 将 日 志文 件 转 储 在 除 硬盘 之 外 的 存储 媒体 上 ,以 节省 系统 磁盘 空间 。 


6.7 最 小 特权 管理 


6.7.1 基本 思想 


在 操作 系统 中 ,为 了 维护 系统 正常 运行 及 其 安全 策略 的 实施 ,往往 需要 为 某 些 特殊 用 户 
赋予 一 定 的 特权 以 直接 执行 一 些 受 限 的 操作 或 进行 超越 安全 控制 策略 的 操作 ,例如 执行 软 
件 安装 、 用 户 账户 维护 等 。 所 谓 特权 是 指 超越 访问 控制 的 能 力 , 它 与 访问 控制 相 结 合 , 可 以 
提高 系统 的 灵活 性 。 目 前 主流 操作 系统 中 都 存在 一 个 无 所 不 能 的 超级 用 户 , Windows 的 超 
级 用 户 是 Administrator,UNIX、Linux 和 FreeBSD 的 超级 用 户 称 为 ROOT ,在 这 些 系 统 中 ， 
超级 用 户 拥 有 所 有 特权 ,可 以 执行 任意 操作 ,而 普通 用 户 不 具有 任何 特权 ,这 种 特权 管理 方 
式 有 利于 系统 的 维护 和 配置 , 却 不 利于 系统 的 安全 性 。 一 旦 超级 用 户 的 口令 丢失 或 超级 用 
户 被 冒充 ,将 会 对 系统 造成 极 大 的 损失 。 另 外 超级 用 户 的 误 操作 也 使 系统 存在 潜在 安全 隐 
患 。 因 此 ,TCSEC 标准 要 求 B2 级 以 上 的 安全 操作 系统 必须 提供 最 小 特权 管理 以 确保 系统 
安全 。 

最 小 特权 的 思想 是 系统 不 应 赋予 用 户 超过 其 执行 任务 所 需 特 权 以 外 的 特权 ,或 者 说 仅 
给 用 户 赋 予 必 不 可 少 的 特权 ,最 小 特权 原则 一 方面 赋予 主体 “ 必 不 可 少 ” 的 特权 以 保证 用 户 
能 完成 承担 的 任务 或 操作 , 另 一 方面 它 仅 给 用 户 “ 必 不 可 少 ” 的 特权 从 而 能 限制 用 户 所 能 进 
行 的 操作 。 同 时 为 了 保证 系统 的 安全 性 ,不 应 对 某 个 用 户 赋予 一 个 以 上 的 职责 ,而 一 般 系统 
中 的 超级 用 户 通常 肩负 系统 管理 .审计 等 多 项 职责 ,因而 需要 将 超级 用 户 的 特权 进行 细 粒 度 
划分 ,分 别 授予 不 同 的 管理 员 ,并 使 其 只 具有 完成 其 任务 所 需 的 特权 ,从 而 减少 由 于 特权 用 
户口 令 丢失 或 错误 软件 .恶意 软件 、 误 操作 所 引起 的 损失 。 

社会 流行 的 管理 模式 通常 源 于 18 世纪 法 国 思 想 家 备 德 斯 鸠 提出 的 三 权 分 立 理论 , 即 立 
法 机 构 ,执行 机 构 和 监督 机 构 三 权 鼎 立 、 相 互 牵制 。 这 种 管理 模式 可 以 引入 到 操作 系统 的 安 
全 管理 之 中 ,使 得 系统 中 不 再 有 超级 用 户 ,而 是 将 所 有 特权 分 解 成 一 组 细 粒 度 的 特权 子 集 ， 
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定义 成 不 同 的 角色 ,使 系统 中 的 任何 用 户 (组 ), 只 具有 完成 其 必需 功能 的 “最 小 特权 ”, 任 何 
用 户 的 权限 都 不 足以 操纵 整个 系统 且 相 互 制约 ,这 就 避免 了 超级 用 户 的 误 操作 或 其 身份 被 
假冒 而 带 来 的 安全 隐患 。 

利用 三 权 分 立 的 思想 可 在 系统 中 定义 系统 安全 管理 员 、 审 计 管理 员 、 系 统管 理 员 三 个 特 
权 管 理 职责 。 系 统管 理 员 拥有 系统 管理 特权 集 , 管 理 与 系统 相关 的 资源 ,包括 用 户 身 份 管 
理 、 系 统 资源 配置 系统 加 载 和 启动 、 系 统 运行 的 异常 处 理 以 及 支持 管理 本 地 和 异地 灾难 备 
份 与 恢复 等 。 安 全 管理 员 拥 有 安全 管理 特权 集 ,是 整个 系统 安全 策略 的 制定 者 ,负责 对 系统 
中 的 主体 、 客 体 进行 统一 标记 ,对 主体 进行 授权 ,配置 一 致 的 安全 策略 ,并 确保 标记 、 授 权 和 
安全 策略 的 数据 完整 性 。 审 计 管理 员 拥有 审计 管理 特权 集 ,是 系统 的 监督 者 ,负责 系统 运行 
中 审计 记录 的 保存 和 读 取 。 各 管理 员 只 具有 完成 其 任务 所 需 的 最 小 特权 ,不 同 管理 员 之 间 
相互 协作 、 相 互 制约 ,任何 一 个 用 户 都 不 能 获得 足够 的 权利 来 破坏 系统 安全 策略 。 


6.7.2 ” POSIX 权能 机 制 


权能 是 有 效 实 现 最 小 特权 的 机 制 ,其 主要 思想 是 将 超级 用 户 的 所 有 特权 划分 成 多 种 权 
能 ,每 种 权能 代表 某 种 特权 操作 的 权限 ,系统 根据 一 定 的 策略 赋予 进程 权能 ,并 根据 进程 拥 
有 的 权能 进行 特权 操作 的 访问 控制 。 基 于 权能 的 最 小 特权 控制 最 早 是 由 Dennis 提出 的 , 早 
期 的 安全 系统 允许 进程 本 身 携带 一 组 对 特定 客体 的 访问 权 , 并 且 在 允许 的 情况 下 ,一 个 进程 
可 以 在 任何 时 候 放 弃 或 收回 它 的 一 些 权 能 。POSIX 权能 机 制 与 传统 的 权能 机 制 类 似 ,但 为 
系统 提供 了 更 为 便利 的 权能 管理 和 控制 。 

POSIX 标准 将 超级 用 户 的 权力 细 分 成 26 个 权能 ,如 表 6. 3 所 示 。 


表 6.3 POSIX 权能 





权 能 说 明 
CAP_OWNER 拥有 该 权能 可 以 改变 文件 的 属 主 或 属 组 
CAP_AUDIT 拥有 该 权能 可 以 操作 安全 审计 机 制 ,包括 写 审计 记录 等 


CAP_COMPAT 
CAP_DACREAD 
CAP_DACWRITE 
CAP_DEV 
CAP_FILESYS 


CAP_MACREAD 
CAP_ MACWRITE 
CAP_MOUNT 
CAP_MULTIDIR 
CAP_SETPLEVEL 
CAP_SETSPRIV 


CAP_SETUID 
CAP_SYSOPS 


拥有 该 权能 可 以 超越 限制 隐蔽 通道 所 做 的 特别 约束 

拥有 该 权能 可 以 超越 自主 访问 控制 的 读 检查 

拥有 该 权能 可 以 超越 自主 访问 控制 的 写 检查 

当 设 备 处 于 私有 状态 时 设置 或 获取 设备 安全 属性 以 改变 设备 级 别 并 访问 设备 
对 文件 系统 进行 特权 操作 ,包括 创建 与 目录 的 连接 .设置 有 效 根 目录 、 制 作 特 
别 文件 

拥有 该 权能 可 以 超越 强制 访问 控制 的 读 检查 

拥有 该 权能 可 以 超越 强制 访问 控制 的 写 检查 

拥有 该 权能 可 以 安装 或 卸载 一 个 文件 系统 

拥有 该 权能 可 以 创建 多 级 目录 

拥有 该 权能 可 以 改变 进程 的 安全 级 (包括 当前 进程 本 身 的 安全 级 ) 

拥有 该 权能 可 以 超越 访问 和 所 有 权限 制 ; 管理 权能 ,用 于 给 文件 设置 可 继承 
和 固定 特权 

拥有 该 权能 可 以 设置 进程 的 真实 有 效用 户 / 组 标识 符 

拥有 该 权能 可 以 完成 几 个 非 关键 安全 性 的 操作 ,包括 配置 进程 记 账 、 维 护 系统 
时 钟 、 提 高 或 设置 其 他 进程 的 优先 级 .设置 进程 调度 算法 等 
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续 表 
权 能 说 有明 
CAP_SETUPRIV 用 于 非特 权 进 程 设置 文件 的 权能 状态 ,该 权能 不 能 超越 访问 和 所 有 权限 制 
CAP_MACUPGRADE ”允许 进程 升级 文件 安全 级 
CAP_FSYSRANGE 拥有 该 权能 可 以 超越 文件 系统 范围 限制 
CAP_SETFLEVEL 拥有 该 权能 可 以 改变 客体 安全 级 
CAP_PLOCK 拥有 该 权能 可 以 上 锁 一 个 内 存 中 的 进程 ,上 锁 共享 内 存 段 
CAP_CORE 拥有 该 权能 可 以 转 储 特权 进程 setuid 进程 ,setgid 进程 的 核心 映像 
CAP_LOADMOD 用 于 完成 与 可 安装 模块 相关 的 可 选择 操作 ,如 安装 或 删除 内 核 可 加 载 模块 
CAP_SEC_OP 拥有 该 权能 可 以 完成 安全 性 有 关 的 系统 操作 ,包括 配置 可 信 路 径 的 安全 注意 
键 , 设 置 加 密 密 钥 等 
CAP_DEV 拥有 该 权能 可 以 对 计算 机 设备 进行 管理 ,包括 配置 终端 参数 .串口 参数 .配置 
磁盘 参数 等 
CAP_OP 拥有 该 权能 可 以 进行 开机 、 关 机 操作 


CAP_NET_ADMIN 拥有 该 权能 可 以 对 计算 机 进行 与 网 络 有 关 的 操作 ,包括 可 以 使 用 RAW、 
PACKET 端口 号 ,可 以 绑 定 端口 号 低 于 1024 端口 ,可 以 进行 网 卡 接口 配置 、 
路 由 表 配 置 等 


在 POSIX 中 定义 了 一 个 权能 模型 ,在 这 个 模型 中 ,只 有 进程 和 可 执行 文件 具有 权能 信 
息 。 进 程 的 权能 信息 包含 三 组 权能 集 , 分 别称 为 permitted_cap .effective_cap 和 inheritable_ 
cap( 简 记 为 bP,pE,pID) 。 其 中 ,permitted_cap 为 允许 权能 集 ,表示 进 程 拥有 的 最 大 权能 集 ; 
effective_cap 为 有 效 权能 集 ,表示 进程 当前 有 效 的 权能 集 , 系 统 根据 进程 的 effective_cap 进 
行 访问 控制 (effective_cap 为 permitted_cap 的 子 集 ); inheritable_cap 为 继承 权能 集 ,表示 
进程 可 传递 给 其 子 进 程 的 权能 集 。 

可 执行 文件 的 权能 信息 也 包含 三 组 权能 集 ,为 了 与 进程 的 权能 集 名 称 相 区 别 , 分 别称 为 
cap_forced、cap_effective 和 cap_allowed( 分 别 简 记 为 fP、fE、f1)。 其 中 ,cap_allowed 表示 文 
件 被 执行 时 可 从 原 进 程 继承 的 权能 集 ; cap_forced 表示 文件 被 执行 时 强制 赋 给 进程 的 权能 
集 ; cap_effective 则 表示 可 执行 文件 开始 执行 时 进程 可 以 拥有 的 有 效 权能 集 。 

新 创建 的 子 进程 拥有 和 父 进程 相同 的 权能 信息 ,而 当 子 进程 调用 exec() 执 行 了 新 的 程 
序 时 ,系统 将 根据 以 下 公式 重新 赋予 子 进程 权能 : 

pl'=pl 

pP'={P| (I & pD 

pE'=pP' & fE 

其 中 ,pl'、pP'、pPE' 为 进程 新 的 权能 信息 ,pI、pP、PE 为 进程 原来 的 权能 信息 ,fP fLfE 则 
为 执行 文件 的 权能 信息 。 

根据 以 上 公式 ,通过 设置 可 执行 文件 的 权能 信息 可 以 控制 相应 进程 拥有 的 权能 。 新 进 
程 所 能 拥有 的 最 大 权能 集 由 可 执行 文件 的 让 .fL 以 及 原 进程 的 pIl 共同 决定 ,设置 可 执行 文 
件 的 下 可 以 强行 赋 给 进程 权能 ,设置 文件 的 生 则 可 继承 进程 原来 的 权能 。 
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6.8 Windows 系统 安全 


Windows 系统 是 目前 市 场 上 占 统治 地 位 的 操作 系统 ,被 广泛 作为 企业 政府 部 门 以 及 
个 人 计算 机 的 系统 平台 ,现在 常用 版 本 有 Windows XP、Windows 7 等 。 自 Windows 2000 
以 来 ,微软 一 直 关 注 操作 系统 的 安全 设计 和 配置 ,提供 了 多 种 安全 机 制 ,了 解 Windows 系统 
的 安全 机 制 ,并 制定 精细 的 安全 策略 ,用 Windows 构建 一 个 高 度 安全 的 系统 才能 成 为 可 能 。 


6.8.1 Windows 安全 子 系统 的 结构 


Windows 系统 基于 经 典 的 引用 监控 器 模型 来 实现 基本 的 对 象 安全 模型 ,系统 中 所 有 主 
体 对 客体 的 访问 都 通过 引用 监控 器 作为 中 介 , 由 引用 监控 器 根据 安全 访问 控制 策略 进行 授 
权 访 问 ,所 有 访问 记录 也 都 由 引用 监控 器 生成 审计 日 志 。Windows 系统 的 安全 子 系统 主要 


由 本 地 安全 授权 子 系统 (LSASS) ,安全 引用 监控 器 (SRM) 事件 记录 器 (EventLog) 等 模块 
组 成 ,如 图 6. 18 所 示 。 
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系统 服务 分 发 器 
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IO 管理 器 
ET 系统 | | 过 程 习 形 驱 志 
和 改作 克 缓存 | 管理 器 | 管理 器 | 理 器 | 器 | 内 存 | 器 | 调用 人 
统 驱 动 
内 核 
硬件 抽象 层 (HAL) 
图 6.18 Windows 系统 安全 体系 结构 示意 图 
1. 身份 认证 


Winlogon 进程 与 LSASS (Local Security Authority SubSyetm) 中 的 Netlogon 分 别 负 
责 Windows 本 地 和 远程 登录 用 户 的 身份 认证 ,利用 LSASS 所 提供 的 身份 验证 服务 ,来 确定 
主体 身份 的 真实 性 。 这 里 主要 讨论 本 地 身份 认证 。 

Winlogon 是 Windows 2000 以 上 版 本 提供 本 地 交互 式 登 录 支 持 的 一 个 组 件 , 该 进程 对 
应 的 可 执行 文件 为 %SystemRoot%\System32\ Winlogon. exe, 主 要 负责 管理 与 登录 相关 的 
安全 工作 。 用 户 在 Windows 系统 启动 后 按 Ctrl 十 Alt 十 Delete 组 合 键 , 会 引起 硬件 中 断 ,该 
中 断 信 息 被 系统 捕获 后 ,操作 系统 即 激活 Winlogon 进程 。 
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Winlogon 调用 图 形 化 标识 和 认证 (Microsoft Graphical Identification and Authentication ， 
GINA) 来 显示 “登录 ”对 话 框 。GINA 是 一 个 用 户 模 式 的 DLL ,运行 在 Winlogon 进程 中 , 标 
准 GINA 是 \Windows\System32\msgina. dll ,负责 显示 用 户 信息 输入 界面 ,收集 用 户 登 录 
信息 ,并 将 用 户 登录 信息 通过 安全 信道 反馈 给 Winlogon。 为 了 支持 更 多 的 交互 登录 验证 方 
式 ,GINA 动态 库 是 可 以 替换 的 ,用 户 可 以 自己 开发 GINA 动态 库 以 实现 其 他 身份 验证 方 
式 , 如 智能 卡 、 指 纹 、 虹 膜 等 。GINA 通过 串 接 的 方式 来 组 合 多 种 身份 认证 机 制 ,例如 自 定 义 
GINA 的 指纹 识别 模块 串 接 到 原本 的 Windows XP 账号 及 密码 认证 之 后 。 不 过 ,这 种 方式 
会 带 来 一 个 大 问题 , 那 就 是 当 GINA 串 接 前 面 的 认证 方式 更 新 之 后 ,有 可 能 造成 GINA 串 
接 断 掉 , 让 后 面 的 认证 进程 失效 。 

在 Windows7 中 使 用 了 全 新 的 凭据 提供 者 API 来 取代 原先 的 GINA 机 制 。Windows 7 
中 可 以 同时 挂 接 多 个 凭据 提供 者 ,这些 凭据 提供 者 之 间 以 并 联 的 方式 组 成 ,因此 彼此 之 间 不 
会 有 任何 干扰 。 

Winlogon 在 收集 好 用 户 的 登录 信息 后 ,就 调用 本 地 安全 授权 (Local Security 
Authority,LSA) 的 LsaLogonUser 命令 ,把 用 户 的 登录 信息 传递 给 LSA, 实 际 认证 部 分 的 
功能 是 通过 LSA 来 实现 的 ,LSA 从 Winlogon 中 获取 用 户 的 账号 和 密码 ,调用 认证 包 , 将 用 
户 信息 加 密 处 理 后 交 给 SAM(Security Account Manager) 服 务 器 ,SAM 服务 器 通过 与 存储 
在 SAM 数据 库 中 的 用 户 信 息 对 比 ,以 确定 用 户 身份 是 否 有 效 。Winlogon、GINA、LSA 三 
部 分 相互 协作 实现 了 Windows 的 本 地 登录 认证 功能 ,本 地 登录 过 程 为 : 

(1) 用 户 首先 按 下 Ctrl 十 Alt 十 Del 组 合 键 。 

(2) Winlogon 检测 到 用 户 按 下 的 组 合 键 ,就 调用 GINA, 由 GINA 显示 登录 对 话 框 ,以 
便 用 户 输入 账号 和 口令 。 

(3) 用 户 输入 账号 和 口令 , 单 击 “确定 ”按钮 后 ,GINA 把 信息 发 送 给 LSA 进行 验证 。 

(4) 在 用 户 登录 到 本 机 的 情况 下 ,LSA 会 调用 Msvl_0. dll 这 个 认证 包 , 将 用 户 信息 加 
密 处 理 , 交 由 SAM 服务 器 同 SAM 数据 库 中 存储 的 密 文 进行 对 比 。 

(5) 如 果 对 比 后 发 现 用 户 有 效 ,SAM 会 将 用 户 的 SID(Security Identifier, 安全 标识 
符 )、 用 户 所 属 用 户 组 的 SID 以 及 其 他 一 些 相关 信息 发 送 给 LSA。 

(6) LSA 将 收 到 的 SID 信息 创建 安全 访问 令 牌 ,然后 将 令 牌 的 句柄 和 登录 信息 发 送 给 
Winlogon. exe。 

(7) Winlogon. exe 对 用 户 登录 稍 作 处 理 后 ,完成 整个 登录 过 程 。 

2. 访问 控制 

Windows 系统 的 访问 控制 授权 信息 存储 在 LSASS 的 策略 数据 库 中 ,客体 的 安全 属性 
由 安全 控制 项 (ACE) 来 描述 ,全 部 客体 的 ACE 组 成 访问 控制 表 (ACL), 没 有 ACL 的 客体 
意味 着 任何 主体 都 可 访问 。 内 核 中 的 安全 引用 监控 器 (Security Reference Monitor, SRM) 
根据 LSASS 的 策略 数据 库 , 负 责 对 所 有 安全 主体 访问 Windows 资源 对 象 的 访问 进行 控制 。 

3. 审计 


Windows 系统 的 审计 规则 信息 存储 在 LSASS 的 策略 数据 库 中 ,内 核 中 的 安全 引用 监 
控 器 SRM 根据 LSASS 服务 配置 的 安全 审计 策略 ,对 访问 控制 过 程 中 相关 事件 进行 记录 ， 
并 由 事件 记录 器 (EventLog) 生 成 系统 审计 日 志 。 
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6.8.2 Windows 系统 安全 机 制 


1. Windows 认证 机 制 

早期 Windows 系统 的 认证 机 制 不 是 很 完善 ,甚至 缺乏 认证 机 制 , 例 如 Windows 32、 
Windows 98 等 。 随 着 系统 发 展 ,微软 公司 逐步 增强 了 Windows 系统 的 认证 机 制 。 以 
Windows XP 为 例 ,系统 提供 两 种 基本 认证 类 型 : 本 地 登录 和 基于 活动 目录 的 域 登录 。 

1) 本 地 登录 

本 地 登录 指 用 户 登 录 的 是 本 地 计算 机 ,对 网 络 资源 不 具备 访问 权力 。 本 地 登录 通常 采 
用 口令 认证 方式 ,所 有 系统 合法 用 户 的 用 户 名 与 口令 信息 被 存储 在 本 地 计算 机 的 安全 账户 
管理 器 (SAM) 中 ,SAM 通常 位 于 %SystemRoot%\system32\config 文件 夹 下 ,并 在 注册 表 
的 HKEY_LOCAL_MACHINAE/SAM 中 保存 有 副本 。 在 登录 时 ,用 户 提交 登录 凭证 ,本 
地 计算 机 的 安全 子 系统 将 用 户 名 与 口令 送 到 本 地 计算 机 上 的 SAM 数据 库 中 进行 验证 。 这 
里 需要 注意 的 是 , Windows 的 口令 不 是 以 纯 文 本 格式 存储 在 SAM 数据 库 中 的 ,而 是 以 口令 
散 列 值 的 方式 存储 。 同 时 为 了 保护 SAM, Windows 系统 在 运行 时 对 SAM 文件 加 了 一 个 持 
久 性 的 文件 锁 , 因 此 即使 是 Administrator 账户 ,通过 正常 途径 也 不 能 直接 读 取 SAM, 只 有 
LocalSystem 账户 权限 才 可 以 读 取 ,但 黑客 们 已 经 提出 了 多 种 技术 可 以 从 内 存 dump 出 
SAM 内 容 , 从 而 使 得 对 SAM 文件 进行 暴力 破解 成 为 可 能 。 

通过 第 4 章 身份 认证 的 介绍 ,我 们 知道 本 地 口令 认证 主要 需 解 决 弱 口 令 问题 ,针对 弱 口 
令 的 攻击 方式 主要 有 字典 攻击 和 暴力 破解 ,为 了 防范 这 类 攻击 , Windows 系统 提供 了 密码 
策略 和 账户 锁定 策略 。 

运行 secpol. msc 即 可 进行 密码 策略 和 账户 锁定 策略 设置 ,本 地 安全 设置 中 的 密码 策略 
是 增强 口令 强度 的 策略 ,在 默认 的 情况 下 都 没有 开启 ,需要 开启 的 密码 策略 如 表 6. 4 所 示 。 
其 中 ,“ 密 码 复 杂 性 要 求 ” 要 求 设置 的 密码 必须 是 大 写字 母 、 小 写字 母 .特殊 字符 和 数字 的 组 
合 ;“ 密 码 长 度 最 小 值 ”是 密码 长 度 至 少 要 满足 的 要 求 ;“ 密 码 最 长 留存 期 "决定 了 密码 可 以 
使 用 的 最 长 时 间 ( 以 天 为 单位 ) ,也 就 是 说 , 当 密 码 使 用 超过 最 长 留存 期 后 ,就 自动 要 求 用 户 
修改 密码 ;“ 强 制 密码 历史 ”是 系统 记录 的 历史 密码 数目 ,其 目的 是 为 了 防止 用 户 将 几 个 密 
码 轮 换 使 用 , 表 中 “强制 密码 历史 ” 值 为 5, 表示 系统 会 记录 5 个 最 近 使 用 的 密码 ,用 户 设置 
新 密码 时 不 能 与 前 5 次 密码 相同 。 


表 6.4 Windows 密码 策略 




















策 上 略 设 置 
密码 复杂 性 要 求 启用 
密码 长 度 最 小 值 6 位 
密码 最 长 存留 期 1 考 壬 
强制 密码 历史 所 个 


开启 账户 策略 可 以 在 满足 特定 条 件 时 将 用 户 账 户 锁定 ,有 效 防 止 字典 攻击 和 暴力 破解 ， 
如 表 6.5 所 示 。 
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表 6.5 Windows 账户 策略 








策 略 设 置 
复位 账户 锁定 计数 器 30 分 钟 
账户 锁定 时 间 30 分 钟 
账户 锁定 阔 值 5 次 








账户 锁定 阔 值 是 指 允 许 用 户 登 录 尝 试 的 次 数 , 如 果 登 录 失 败 次 数 超过 阔 值 则 该 账户 会 
被 系统 锁定 ,锁定 时 间 由 账户 锁定 时 间 策 略 决定 。 复 位 账户 锁定 计数 器 决定 了 需要 等 待 多 
长 时 间 ,系统 才 自 动 将 记录 的 失败 次 数 清 零 ,例如 设置 账户 锁定 冰 值 为 10 次 ,账户 锁定 时 间 
为 60 分 钟 、 复 位 账户 锁定 计数 器 为 30 分 钟 ,如 果 一 位 用 户 忘 记 了 自己 的 密码 ,尝试 了 5 次 
就 没有 继续 尝试 ,这 时 他 的 账户 还 没有 没 锁定 ,但 系统 已 经 记录 了 失败 尝试 的 次 数 为 5, 在 
最 后 一 次 尝试 的 30 分 钟 后 ,记录 下 来 的 5 次 失败 尝试 会 被 清 零 ,该 账户 又 获得 了 10 次 尝试 
的 机 会 。 

如 果 操 作 系 统 的 SAM 数据 库 出 现 问题 ,将 面临 无 法 完成 身份 认证 、 无 法 登录 操作 系 
统 ,用户 密码 丢失 的 情况 。 所 以 ,保护 SAM 数据 的 安全 就 显得 尤为 重要 ,虽然 SAM 数据 库 
中 用 户口 令 已 经 做 了 散 列 处 理 , 并 且 进 行 了 运行 时 锁定 ,但 是 针对 SAM 进行 破解 的 工具 有 
很 多 ,如 LophtCrack (LC)、Cain&Abel 等 。Microsoft 公司 提供 了 实用 工具 SysKey 对 
SAM 进行 保护 ,读者 可 以 自行 完成 SysKey 的 配置 。 

本 地 用 户 登录 没有 集中 统一 的 安全 认证 机 制 。 如 果 有 N 台 计 算 机 要 相互 访问 资源 ,就 
需要 在 N 台 计 算 机 上 维护 N 个 SAM 库 。 这 样 ,用 户 登 录 的 验证 机 制 就 被 分 布 到 了 多 个 地 
方 , 这 违反 了 信息 安全 的 可 控 性 原则 。 因 为 在 实际 的 环境 中 ,如 果 需 要 在 多 个 点 上 维护 安 
全 ,还 不 如 使 用 某 一 种 机 制 在 一 个 点 上 维护 安全 ,以 此 达到 统一 验证 ,统一 管理 的 目的 。 

2) 基于 活动 目录 的 域 登录 

域 是 用 来 集中 网 络 上 资源 与 活动 的 计算 机 集合 。 域 上 可 以 有 几 台 控制 器 和 许多 客户 计 
算 机 。 域 控制 器 是 指 运 行 Windows 服务 器 活动 目录 的 机 器 。 和 运行 活动 目录 安全 向 导 就 能 
在 计算 机 上 安装 和 配置 活动 目录 组 件 。 域 控制 器 存储 资源 目录 ,用 户 数据 信息 及 域 交 互信 
息 ,包括 用 户 登 录 过 程 ,鉴别 和 目录 检索 。 

活动 目录 是 Windows 服务 器 上 运行 的 服务 ,存储 域 上 大 量 对 象 的 安全 信息 。 它 是 个 集 
中 化 的 仓库 ,允许 域 控制 器 访问 、 存 取 和 修改 对 象 和 它 的 属性 。 

基于 活动 目录 的 域 登录 与 本 地 登录 的 方式 完全 不 同 。 首 先 ,所 有 的 用 户 登 录 和 凭证 (用 户 
ID 与 口令 ) 被 集中 地 存放 到 一 台 服 务 器 上 ,结束 了 分 散 验证 的 行为 。 该 过 程 必须 使 用 网 络 
身份 验证 协议 ,这些 协议 包括 Kerberos、LAN 管理 器 (LM)、NTLAN 管理 器 (NTLM) 等 ， 
而 且 这 些 过 程 对 于 用 户 而 言 是 透明 的 。 

如 图 6. 19 所 示 ,此 时 网 络 上 所 有 用 户 的 登录 凭证 (包括 用 户 ID 和 口令 ) 都 被 集中 地 存 
储 到 活动 目录 安全 数据 库 中 。 这 人 台 完 成 集中 存储 域 用 户 ID 与 口令 并 提供 用 户 身份 的 服务 
器 ,就 是 域 控制 器 (DC) 。 用 户 在 计算 机 上 登录 域 时 ,需要 通过 网 络 身份 认证 协议 ,将 登录 凭 
证 提交 到 DC 进行 认证 。 注 意 ,在 基于 活动 目录 的 域 登录 环境 中 必须 部 署 活动 目录 服务 器 。 

只 要 登录 “ 域 ”成 功 ,服务 器 之 间或 主机 之 间 的 相互 访问 就 不 再 是 进行 分 散 的 验证 ,而 是 
通过 活动 目录 去 维护 一 个 安全 堡垒 。 如 果 计 算 机 B 与 计算 机 C 要 相互 访问 活动 目录 上 的 
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el 


下 


; 域 控制 名 (DC) 
计算 机 B === > 活动 目录 服务 器 


互 访 不 需要 认证 


计算 机 C 





使 用 认证 协议 发 送 登 录 请 求 ， 
统一 由 DC 认证 


图 6.19 基于 活动 目录 的 域 登录 


资源 ,那么 这 两 台 主 机 在 网 络 初 始 化 时 就 必须 成 功 地 被 域 控 制 器 所 验证 。 那 么 此 时 计算 机 
B 与 计算 机 C 的 相互 访问 ,就 不 青 需要 输入 用 户 名 和 密码 了 。 这 样 就 达到 了 “一 次 登录 ,多 
次 访问 ”的 效果 ,不 仅 提高 了 登录 验证 的 安全 性 ,也 提高 了 访问 效率 。 

2. Windows 访问 控制 机 制 

Windows 的 访问 控制 策略 是 基于 自主 访问 控制 的 ,由 属 主 用 户 决 定 其 他 用 户 是 否 可 以 
访问 资源 以 及 对 资源 的 访问 能 力 ,以 保证 资源 合法 、 受 控 地 使 用 。 

Windows 安全 子 系统 中 实现 自主 访问 控制 主要 包含 5 个 关键 的 组 件 : 安全 标识 符 
(SID) .访问 令 牌 (Access Token) ,安全 描述 符 (Security Descriptor) ,访问 控制 表 (Access 
Control List) ,访问 控制 项 (Access Control Entry) 。 

1) 安全 标识 符 (Security Identifiers,SID) 

Windows 并 不 是 根据 账户 名 而 是 利用 SID 来 区 分 账户 的 。 在 Windows 环境 下 ,几乎 
所 有 对 象 都 具有 了 唯一 标识 符 SID, 例 如 本 地 账户 、 本 地 账户 组 、 域 账户 、 域 账户 组 、 本 地 计算 
机 、 域 域 成 员 等 。 可 以 将 用 户 名 理解 为 每 个 人 的 名 字 , 将 SID 理解 为 每 个 人 的 身份 证 号 
码 , 人 名 可 以 重复 ,但 身份 证 号 码 绝 对 不 会 重复 。 这 样 做 主要 是 为 了 便于 管理 ,例如 ,因为 
Windows 是 通过 SID 区 分 对 象 的 ,完全 可 以 在 需要 时 更 改 一 个 账户 的 用 户 名 ,而 不 用 青 对 
新 名 称 的 同一 个 账户 重新 设置 所 需 的 权限 ,因为 SID 是 不 会 变化 的 。 然 而 ,如 果 有 一 个 账 
户 , 已 经 给 该 账户 分 配 了 相应 的 权限 ,一 旦 删除 了 该 账户 ,然后 重建 一 个 使 用 同样 用 户 名 和 
密码 的 账户 , 原 账户 具有 的 权限 和 权力 并 不 会 自动 应 用 给 新 账户 ,因为 尽管 账户 的 名 称 和 密 
码 都 相同 ,但 账户 的 SID 已 经 发 生 了 变化 。 

标志 某 个 特定 账号 或 组 的 SID 是 在 创建 该 账号 或 组 时 由 系统 生成 的 。 每 个 本 地 账号 
或 组 的 SID 在 创建 它 的 计算 机 上 是 唯一 的 ,机 器 上 的 不 同 账 号 或 组 不 能 共享 同一 个 SID。 
SID 在 整个 生存 期 内 也 是 唯一 的 。 安 全 主体 绝对 不 会 重复 发 放 同一 个 SID ,也 不 重用 已 删 
除 账号 的 SID。 

SID 是 一 个 形 如 “S-1-5-21-1416960467-3232414597-2644585607-500” 的 字符 串 ,其 中 前 
级 S 为 固定 字符 ,第 二 位 为 版 本 号 ,通常 为 1, 第 三 位 表示 颁发 机 构 (5 代表 the Windows 


第 6 章 操作 系统 安全 163 





Security Authority) , 之 后 为 0 个 或 几 个 子 颁 发 机 构 标 识 符 , 末 尾 是 一 个 相对 标识 符 
(Relative Identifier, RID) ,一 般 Administrator 账户 的 RID 均 为 500。 在 Windows 7 中 ,要 
查看 当前 登录 账户 的 SID, 可 以 使 用 管理 员 身 份 启动 命令 提示 窗口 ,然后 运行 “whoami/ 


user” 命 令 , 如 图 6. 20 所 示 。 











国 管理 员 : C\Windows\system32\cmd.exe Ee 
M ft Windows [本 6.1.7681] 区 
版 权 所 有 《ec》2889 Microsoft Corporation。 保 留 所 有 权利 。 








rs\Mdninistrator whoani/user 


a7uegktpkqq2otvadministrator S-1-5-21-1416969467-3232414597-2644585697-599 


IC:\Jsers\Adninistrator> 








图 6.20 查看 用 户 SID 
Windows XP 默认 安装 中 没有 whoami 程序 ,因此 如 果 想 在 Windows XP 下 查看 当前 
账户 的 SID ,或 者 在 Windows Vista 和 Windows XP 下 查看 其 他 账户 的 SID, 可 以 借助 微软 
的 一 个 免费 小 工具 PsGetSid。 


















































2) 访问 令 牌 (Access Token) 一 

安全 引用 监视 器 (SRM) 使 用 一 个 称 为 访问 令 牌 的 对 象 来 标识 一 ”| 外 加 
个 进程 或 线程 的 安全 属性 。 访 问 令 牌 可 以 看 作 是 一 张 电子 通行 证 ,里 he 
面 记录 了 用 于 访问 对 象 ,执行 程序 ,修改 系统 设置 所 需 的 安全 验证 dtd 
信息 。 认证 ID 

所 有 的 令 牌 包含 了 同样 的 信息 ,如 图 6. 21 所 示 , 但 是 令 牌 的 大 小 修改 ID 
是 不 固定 的 ,因为 不 同 的 用 户 账户 有 不 同 的 权限 集合 ,它们 关联 的 组 账 过 期 时 间 
户 集合 也 不 同 。 默认 的 主 组 

用 户 的 访问 权限 主要 申 令 牌 中 的 两 部 分 信息 来 确定 ,第 一 部 分 由 “| 默认 的 DACL 
令 牌 的 用 户 账 户 SID 和 组 SID 域 构 成 。SRM 使 用 这 些 SID 来 决定 一 用 户 账户 SID 
个 进程 或 线程 是 否 可 以 获得 一 个 被 保护 对 象 (比如 一 个 NTFS 文件 ) i 
的 访问 许可 。 令 牌 中 的 用 户 账户 SID 描述 了 用 户 身 份 , 不 同 的 用 户 访 
问 权限 不 同 ,而 组 SID 说 明了 一 个 用 户 的 账户 是 哪些 组 的 成 员 ,用 户 人 
组 是 为 了 简化 用 户 管理 而 引入 的 用 户 账户 容器 ,通过 将 用 户 账户 添加 | RSIDT] 
到 特定 用 户 组 ,就 可 以 使 得 该 用 户 拥有 用 户 组 配置 的 全 部 权限 ,不 同 的 
组 其 权限 也 不 相同 ,一 个 用 户 可 以 是 多 个 组 的 成 员 , 能 够 获得 这 些 组 的 

受 限制 的 SID ” 

权限 。 

在 一 个 令 牌 中 ,决定 该 令 牌 的 线程 或 进程 可 以 做 哪些 事情 的 第 二 ds 
部 分 信息 是 权限 集 。 一 个 令 牌 的 权限 集 是 一 组 与 该 令 牌 关 联 的 列表 。 
关于 权限 的 一 个 例子 是 ,与 该 令 牌 关联 的 进程 或 线程 具有 关闭 该 计算 权限 





机 的 权限 。 图 6.21 访问 令 牌 
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令 牌 中 包含 的 默认 的 主 组 域 和 默认 的 自主 访问 控制 表 (DACL) 域 是 指 这 样 一 些 安全 





属 


性 : 当 该 进程 或 线程 创建 对 象 时 ,Windows 系统 自动 将 该 进程 或 线程 关联 的 令 牌 中 的 默认 


的 六 


组 和 默认 的 自主 访问 控制 表 应 用 在 它 所 创建 的 对 象 上 ,这样 可 以 使 得 进程 或 线程 可 





以 


很 方便 地 创建 一 些 具有 标准 安全 属性 的 对 象 ,而 不 需要 为 它 所 创建 的 每 个 对 象 请 求 单独 的 
安全 信息 。 


联 在 一 起 ,规定 了 谁 可 以 在 这 个 对 象 上 执行 哪些 操作 。 hab 
一 个 安全 描述 符 由 以 下 属性 构成 ,如 图 6. 22 所 示 。 本 
。 版 本 号 : 创建 此 描述 符 的 SRM 安全 模型 的 版 本 。 bl 
。 标志: 定义 了 该 描述 符 的 类 型 和 内 容 。 该 标志 指明 是 否 存 组 SD 
在 DACL 和 SACL。 还 包括 如 SE_DACL PROTECTED 的 ”| 自主 访问 控制 表 (DACL) 
标志 ,防止 该 描述 符 从 另 一 个 对 象 继承 安全 设置 。 系统 访问 控制 表 (SACL) 


3) 安全 描述 符 (Security Descriptor) 
令 牌 标识 了 一 个 用 户 的 凭证 ,而 安全 描述 符 与 一 个 对 象 关 





























所 有 者 SID: 所 有 者 的 安全 ID, 该 对 象 的 所 有 者 可 以 在 图 6.22 安全 描述 符 
这 个 安全 描述 符 上 执行 任何 动作 。 所 有 者 可 以 是 一 个 

单一 的 SID, 也 可 以 是 一 组 SID。 所 有 者 具有 改变 DACL 内 容 的 权限 。 

组 SID: 该 对 象 的 主 组 的 安全 ID( 仅 用 于 POSIX 系统 ) 。 

自主 访问 控制 表 (Discretinary ACL, DACL): 规定 了 谁 可 以 用 什么 方式 访问 
对 象 。 





























该 


系统 访问 控制 表 (System ACL,SACL) : 规定 了 哪些 用 户 的 哪些 操作 应 该 被 记录 到 


安全 审计 日 志 中 。 
pe 安全 描述 符 的 主要 组 件 是 自主 访问 控制 表 ,自主 访问 控制 
表 确 定 了 各 个 用 户 和 用 户 组 对 该 对 象 的 访问 权限 。 当 一 个 进程 
2 试图 访问 该 对 象 时 ,以 该 进程 的 SID 与 该 对 象 的 自主 访问 控制 
blebs 表 是 否 相 匹 配 ,来 确定 本 次 访问 是 否 被 允许 。 
SD 4) 自主 访问 控制 表 (Access Control List, ACL) 
ACE 头 ACL 是 Windows 访问 控制 机 制 的 核心 , 它 的 结构 如 
访问 掩 码 图 6. 23 所 示 。 每 个 表 由 整个 表 的 表 头 和 许多 访问 控制 项 (ACE) 
SID 组 成 。 每 个 访问 控制 项 为 一 个 个 人 SID 或 组 SID 定义 访问 指 
码 ,访问 掩 码 定义 了 该 SID 被 授予 的 权限 。 








6.23 自主 访问 控制 表 


当 进 程 试图 访问 一 个 对 象 时 ,系统 中 该 对 象 的 管理 程序 从 


访问 令 牌 中 读 取 SID 和 组 SID, 然 后 扫描 该 对 象 的 DACL ,进行 


以 下 3 种 情况 的 判断 。 


如 果 目 录 对 象 没有 访问 控制 表 (DACL), 则 系统 允许 所 有 进程 访问 该 对 象 。 


程 都 拒绝 访问 该 对 象 。 


如 果 目 录 对 象 有 访问 控制 表 (DACL) ,但 访问 控制 条 目 ACE 为 空 , 则 系统 对 所 有 进 


如 果 目 录 对 象 有 访问 控制 表 (DACL), 且 访问 条 目 ACE 不 为 空 ,那么 如 果 找 到 一 个 


访问 控制 项 , 它 的 SID 与 访问 令 牌 中 的 一 个 SID 匹配 ,那么 该 进程 具有 该 访问 控制 


项 的 访问 掩 码 所 确定 的 访问 权限 。 
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5) 访问 控制 项 (Access Control Entry,ACE) 

访问 控制 项 包含 了 用 户 或 组 的 SID 以 及 对 象 的 权限 。SID 用 来 标识 允许 ,禁止 或 审计 
访问 的 用 户 或 组 。 访 问 控制 项 有 两 种 : 允许 访问 和 拒绝 访问 。 拒 绝 访问 的 级 别 高 于 允许 
访问 。 

3. 用 户 账户 管理 (User Account Control) 

由 于 历史 原因 ,使 用 Windows 的 很 多 用 户 都 直接 以 管理 员 权 限 运行 系统 ,这 对 计算 机 
安全 构成 很 大 隐患 。 从 Windows Vista 开始 ,Windows 加 强 了 对 用 户 账户 控制 的 管理 ,使 
用 “用 户 账户 控制 "(User Account Control,UAC) 模 块 来 管理 和 限制 用 户 权 限 。 

和 老 版 本 的 Windows 有 很 大 不 同 ,在 Windows Vista、Windows 7 等 中 , 当 用 户 使 用 管 
理 员 账户 登录 时 ,Windows 会 为 该 账户 创建 两 个 访问 令 牌 : 一 个 标准 令 牌 ,一 个 管理 员 令 
牌 。 当 用 户 试 图 访问 文件 或 运行 程序 的 时 候 , 系 统 大 都 会 自动 使 用 标准 令 牌 进行 ,只 有 在 权 
限 不 足 ( 也 就 是 说 ,如 果 程 序 宣称 需要 管理 员 权 限 的 时 候 ) 时 ,系统 才 会 使 用 管理 员 令 牌 ,这 
种 将 管理 员 权 限 区 分 对 待 的 机 制 称 为 UAC,UAC 体现 了 最 小 特权 原则 , 即 在 执行 任务 时 使 
用 尽 可 能 少 的 特权 。 

在 需要 管理 员 特 权 操 作 时 ,系统 首先 会 弹出 UAC 对 话 框 要 求 用 户 确认 (如 果 当 前 登录 
的 是 管理 员 用 户 ), 如 图 6. 24 所 示 ,或 者 输入 管理 员 用 户 的 密码 (如 果 当 前 登录 的 是 标准 用 
户 , 也 称 为 受 限 用 户 ) ,只 有 在 提供 了 正确 的 登录 凭据 后 ,系统 才 允 许 使 用 管理 员 令 牌 访问 文 
件 或 运行 程序 ,这 个 要 求 确认 或 者 输入 管理 员 账 户 密码 的 过 程 称 为 “提升 ”。 


下 














图 6.24 UAC 用 户 确 认 对 话 框 


根据 以 管理 员 身 份 运行 的 程序 不 同 ,提升 ?对 话 框 顶部 一 栏 的 底 色 不 同 , 一 般 来 说 , 底 
色 和 对 应 的 含义 如 表 6.6 所 示 。 


表 6.6 ”UAC 对 话 框 背景 含义 








背景 颜色 含义 
禁止 , 台 禁止 。3 时 
红色 背景, 带 有 红色 盾牌 图 标 。 | 程序 的 发布 者 被 禁止 ,或 者 被 组 策略 禁止 。 通 到 这 种 对 话 框 的 时 人 
要 万 分 小 心 
3 | 程序 不 被 本 地 计算 机 信任 (主要 是 因为 不 包含 可 信任 的 数字 签名 或 
本 黄色 背景,' 带 有 红色 盾牌 图 标 | 数字 签名 损坏 ) 





蓝 绿色 背景 程序 是 微软 自 带 的 , 带 有 微软 的 数字 签名 
灰色 背景 程序 带 有 可 信任 的 数字 签名 
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UAC 功能 在 一 定 程 度 上 增强 了 系统 安全 性 ,但 是 在 执行 很 多 操作 的 时 候 都 需要 进行 确 
认 ,也 带 来 了 使 用 上 的 麻烦 。 在 Windows 7 系统 中 可 以 根据 系统 所 处 的 环境 状况 ,设置 
UAC 的 安全 级 别 , 使 得 在 利用 UAC 确保 系统 安全 的 同时 ,使 用 上 更 加 易于 接受 。 使 用 管 
理 员 账 户 登录 Windows 7, 打 开 [控制 面板 了 ,在 【控制 面板 3 中 依次 单 击 [ 用 户 账户 【更 改 用 
户 账 户 控制 设置 了 ,在 如 图 6. 25 所 示 的 界面 中 ,通过 滑 块 调整 UAC 的 提示 级 别 ,系统 中 提 
供 了 4 个 级 别 ,从 上 到 下 的 安全 性 递减 ,同时 ,“ 扰 民 ” 的 程度 也 是 递减 的 。 


选择 何 时 通知 您 有 关 计 算 机 更 改 的 消息 
计算 机 进行 更 改 。 


默认 - 仅 在 程序 尝试 对 我 的 计算 机 进行 更 改 时 通知 我 
。” 当 我 对 Windows 设置 进行 更 改 时 不 要 通知 我 























图 6.25 UAC 级 别 设置 
不 同 级 别 之 间 的 区 别 以 及 建议 的 使 用 环境 可 参考 表 6. 7。 
表 6.7 UAC 各 级 别 使 用 场景 


描 述 


适用 场景 


是 否 使 用 安全 桌面 





当 程 序 试图 安装 软件 ,或 更 
改 计算 机 设置 ,或 用 户 更 改 
Windows 设置 时 ,通知 当前 
用 户 


如 果 希 望 尽 可 能 保证 计算 
机 安全 ,用 户 需要 频繁 安装 
软件 ,以 及 访问 不 熟悉 的 网 
站 时 ,可 使 用 该 选项 


是 





默认 值 





只 有 在 程序 试图 修改 计算 
机 配置 时 通知 当前 用 户 , 但 
用 户 自 己 更 改 Windows 设 
置 时 不 通知 





如 果 计 算 机 需要 较 高 的 安 
全 等 级 ,并 希望 降低 用 户 可 
以 看 到 的 通知 数量 时 ,可 选 
择 该 选项 
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续 表 
选 项 描述 适用 场景 是 否 使 用 安全 桌面 
如 果 用 户 在 可 信赖 环境 中 
2 
ee 与 默认 值 相 同 ,但 显示 通知 | 工作 ,只 使 用 熟悉 的 应 用 程 
时 UAC 不 切换 到 安全 桌面 | 序 ,不 访问 不 熟悉 的 网 站 ， 
低 桌面 亮度 ) 
即 可 选择 该 选项 
如 果 安 全 性 并 不 是 最 重要 


的 ,并 且 用 户 在 可 信赖 环境 
、 _ 中 工作 ,同时 使 用 由 于 不 支 
从 不 通知 关闭 UAC 所 有 的 提示 通知 持 UAC 而 无 法 获得 否 
Windows 7 认证 的 程序 , 即 


可 使 用 该 选项 











Windows 7 默认 UAC 级 别 是 第 三 级 ,在 该 级 别 下 , 当 弹 出 UAC 提升 对 话 框 时 ,桌面 背 
景 会 变 暗 , 这 就 是 所 谓 的 “安全 桌面 ,这 样 做 的 主要 目的 不 是 为 了 突出 显示 UAC 的 对 话 
框 ,而 是 为 了 安全 ,除了 受信 任 的 系统 进程 外 ,任何 用 户 级 别 的 进程 都 无 法 在 安全 桌面 上 运 
行 , 这 样 可 以 阻止 恶意 程序 的 仿冒 攻击 。 

4. 加 密 文件 系统 

权限 的 访问 控制 行为 在 某 种 程度 上 提高 了 资源 的 安全 性 ,防止 了 资源 被 非法 访问 或 修 
改 。 但 事实 上 这 种 行为 只 能 针对 系统 级 层面 进行 控制 ,如 果 资 源 所 在 的 物理 硬盘 被 非法 窃 
取 , 那 么 使 用 上 述 的 权限 访问 控制 行为 对 资源 保护 没有 任何 意义 。 窃 取 者 只 需 把 资源 所 在 
的 物理 硬盘 放 到 自己 的 主机 上 ,使 用 自己 的 操作 系统 启动 计算 机 ,再 将 该 硬盘 设置 成 为 操作 
系统 资源 盘 , 便 可 以 轻松 地 解除 原 有 操作 系统 的 权限 并 访问 资源 。 为 了 防止 这 样 的 事情 发 
生 , 需 要 一 种 基于 文件 系统 加 密 的 方法 来 保证 资源 的 安全 。 

加 密 文件 系统 (Encrypting File System, EFS) 是 Windows 2000 及 以 上 版 本 中 NTFS 
格式 磁盘 的 文件 加 密 。EFS 允许 用 户 以 加 密 格 式 存储 磁盘 上 的 数据 ,将 数据 转换 成 不 能 被 其 
他 用 户 读 取 的 格式 。 用 户 加 密 文件 之 后 只 要 文件 存储 在 磁盘 上 , 它 就 会 自动 保持 加 密 的 状态 。 

EFS 基于 混合 加 密 体制 ,文件 加 密 密 钥 为 124 位 ,加 密 算法 是 DES 的 改进 算法 ,文件 加 
密 密 钥 用 公 钥 密码 体制 的 公 钥 加 密 后 存储 。 注 意 ,由 于 加 密 、 解 密 功能 在 系统 启动 时 还 不 起 
作用 ,因此 系统 文件 或 在 系统 目录 中 的 文件 是 不 能 被 加 密 的 ,否则 ,系统 将 无 法 启动 。 

加 密 时 ,只 需 使 用 鼠标 右键 单 击 要 加 密 的 文件 或 文件 夹 ,然后 选择 [属性 】, 在 [属性 ] 对 
话 框 的 【常规 选项 卡 中 单 击 【高 级 了 按钮 ,在 【高 级 属性 】 对 话 框 中 选中 [加密 内 容 以 保护 数 
据 ] 复 选 框 并 确认 即 可 对 文件 进行 加 密 , 如 图 6. 26 所 示 ,如果 加 密 的 是 文件 夹 ,系统 将 进 一 
步 弹 出 【确认 属性 修改 对 话 框 要 求 确认 是 加 密 选 中 的 文件 夹 , 还 是 加 密 选中 的 子 文件 夹 以 
及 其 中 的 文件 。 解 密 的 步骤 与 加 密 相反 ,只 需 在 [高 级 属性 ] 对 话 框 清除 [加密 内 容 以 保护 数 
据 ] 复 选 框 上 的 选中 标记 即 可 。 在 解密 文件 夹 时 将 同样 弹出 [确认 属性 更 改 ] 对 话 框 要 求 确 
认 解 密 操作 应 用 的 范围 。 

5. BitLocker 机 制 

为 了 保证 系统 安全 ,可 以 采用 给 用 户 设置 强 密码 ,访问 控制 .EFS 加 密 等 手段 ,然而 这 
样 就 可 以 做 到 万 无 一 失 了 吗 ? 很 多 人 可 能 听 说 过 ERD Commander 之 类 的 软件 ,这 种 软件 
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[ 国 吕 ”请 给 涯 用 于 访 立 件 的 选项 - 
存档 和 编制 素 引 情 性 


[DY 
加 为 了 快速 搜索 ,人 允许 索引 服务 编制 该 文件 的 索引 I) 


压缩 或 加 禾 属 性 
口 压 编 内 容 以 便 节省 磁盘 空间 C) 
口 加 密 内 容 以 便 保护 数据 到 ) 详细 信息 @) 





图 6.26 ”加密 文件 系统 


可 以 创建 一 个 光盘 镜像 文件 ,将 其 刻录 到 光盘 上 后 ,可 以 用 来 引导 计算 机 启动 ,将 计算 机 引 
导 进 入 一 种 Windows PE 环境 (可 以 理解 为 运行 在 光盘 上 的 Windows 系统 ) ,利用 该 环境 ， 
可 以 在 硬盘 上 原先 安装 的 Windows 没有 启动 的 情况 下 ,查看 注册 表 内 容 、 访 问 文件 ,查看 EFS 
加 密 密 钥 等 ,这 种 攻击 是 在 硬盘 Windows 没有 运行 的 情况 下 进行 的 ,因此 , 称 为 “ 脱 机 攻击 ”。 

Windows 7 中 新 增 的 BitLocker 功能 可 以 加 密 整 个 Windows 分 区 ,并 将 加 密 密 钥 保存 
在 硬盘 之 外 的 地 方 , 这 样 即 使 遭受 脱 机 攻击 ,攻击 者 没有 解密 密 钥 ,也 无 法 获得 系统 中 的 任 
何 信息 。 

BitLocker 主要 有 两 种 工作 模式 : TPM 模式 和 U 盘 模 式 。 要 使 用 TPM 模式 ,要 求 计 
算 机 中 必须 带 有 不 低 于 1.2 版 TPM 芯片 ,这 种 芯片 是 通过 硬件 方式 提供 的 ,一 般 只 出 现在 
对 安全 性 要 求 较 高 的 商用 计算 机 或 者 工作 站 上 ,家 用 计算 机 或 者 普通 计算 机 上 通常 不 会 提 
供 。 要 想 知道 计算 机 上 是 否 有 TPM 芯片 ,需要 运行 devmgmt. msc 打开 设备 管理 器 ,然后 
查看 设备 管理 器 中 是 否 存在 “安全 设备 ”节点 ,该 节点 下 是 否 有 “受信 任 的 平台 模块 ”这 类 设 
备 ,并 确定 其 版 本 即 可 。 如 果 要 使 用 U 盘 模 式 ,只 需要 计算 机 上 有 USB 接口 ,计算 机 的 
BIOS 支持 在 开机 的 时 候 访问 USB 设备 ,并 且 能 提供 一 个 专用 的 U 盘 。 使 用 U 盘 模 式 , 用 
于 解密 系统 盘 的 密 钥 文件 会 被 保存 在 U 盘 上 ,每 次 重启 系统 的 时 候 , 必 须 在 开机 之 前 将 
U 盘 连 接 到 计算 机 上 。 

打开 【控制 面板 】, 单 击 【BitLocker 驱动 器 加 密 】, 即 可 启动 磁盘 加 密 过 程 。 在 应 
U 盘 模 式 的 BitLocker 后 ,每 次 启动 系统 前 都 必须 将 保存 了 启动 密 钥 的 U is 
才能 完成 Windows 的 启动 和 加 载 过 程 。 

6. Windows 审计 /日 志 机 制 

日 志文 件 是 Windows 系统 中 一 个 比较 特殊 的 文件 , 它 记录 Windows 系统 的 运行 状况 ， 

miat ort eae 运行 和 关闭 等 信息 。Windows 日 志 有 3 种 类 型 : 系统 日 志 、 应 用 程 

日 志和 安全 日 志 。 可 以 通过 “控制 面板 ”>“ 管 理工 具 ”>“ 事 件 查看 器 ”来 浏览 这 些 日 志 
de 

(1) 系统 日 志 。 包 含 Windows 系统 组 件 记 录 的 事件 。 例 如 ,在 启动 过 程 中 加 载 驱 动 程 
序 或 其 他 系统 组 件 失 败 将 记录 在 系统 日 志 中 ,默认 情况 下 Windows 会 将 系统 事件 记录 到 系 
统 日 志 

(2) 应 用 程序 日 志 。 包 含 由 应 用 程序 或 系统 程序 记录 的 事件 ,主要 记录 程序 运行 方面 
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的 事件 。 

(3) 安全 性 日 志 。 记 录 诸 如 有 效 和 无 效 的 登录 尝试 以 及 与 资源 使 用 相关 的 事件 ,例如 
创建 ,打开 或 删除 文件 或 其 他 对 象 。 

安全 审核 是 Windows 最 基本 的 入 侵 检 测 方法 , 当 有 人 尝试 对 系统 进行 某 种 方式 (如 尝试 
用 户 密码 改变 账户 策略 和 未 经 许可 的 文件 访问 等 ) 和 人 侵 时 ,都 会 被 安全 审核 记录 下 来 。 审 核 
策略 在 默认 的 情况 下 是 没有 开启 的 ,可 利用 本 地 安全 策略 中 的 审核 策略 开启 ,如 图 6. 27 所 示 。 





4 二 白 |X 双 | 鳃 











日 - 国 帐户 第 略 Re i 
中国 总 和 项 审核 登录 事件 起 审 术 
日 ee 国 | 审核 对 象 访问 元 审核 
| 国定 村 过 程 追踪 无 审核 
和 的 月 T 国定 术 目 录 服 务 访问 Ed 
四 国安 全 选 国 | 审核 特权 使 用 元 审 核 
四 -加 公 钥 第 略 国 审 核 系统 事件 无 而 术 
田 图 软件 限制 策略 关 | 审 核 账 户 车 录 事件 无 审核 
田 仿 I 安全 第 略 ,在 本 地 计算 机 | 多 审核 账户 管理 孝 审 核 
图 6.27 审核 策略 


如 果 计 算 机 被 配置 为 域 控制 器 ,那么 还 将 包括 目录 服务 日 志 、 文 件 复制 服务 日 志 。 如 果 
计算 机 被 配置 为 域名 系统 (DNS) 服务 器 ,那么 还 将 记录 DNS 服务 器 日 志 。 当 启动 
Windows 时 ,事件 日 志 服 务 (EventLog) 会 自动 启动 ,所 有 用 户 都 可 以 查看 应 用 程序 和 系统 
日 志 , 但 只 有 管理 员 才 能 访问 安全 性 日 志 。 

7. Windows 协议 过 滤 和 防火 墙 

针对 来 自 网 络 上 的 威胁 ,Windows NT 4.0、Windows 2000 提供 了 包 过 滤 机 制 , 通 过 过 
滤 机 制 可 以 限制 网 络 包 进入 到 用 户 计算 机 。 而 Windows XP SP2 以 后 的 版 本 则 自 带 了 防火 
墙 ,该 防火 墙 能 够 监控 和 限制 用 户 计算 机 的 网 络 通信 。 


6.9 UNIX/Linux 的 安全 机 制 


UNIX 是 一 种 多 用 户 、 多 任务 的 操作 系统 ,这 类 操作 系统 的 一 个 基本 功能 就 是 防止 系统 
中 不 同 用 户 之 间 的 相互 干扰 ,所 以 UNIX 的 设计 宗旨 是 要 考虑 安全 的 。 

Linux 是 UNIX 的 一 个 克隆 版 本 ,在 安全 结构 上 .Linux 与 UNIX 基本 相似 ,如 无 特殊 
说 明 ,下面 对 UNIX 安全 机 制 的 描述 同样 也 适用 于 Linux。 


6.9.1 UNIX 与 Linux 操作 系统 概述 


1965 年 ,美国 AT&T 贝尔 实验 室 (Bell Labs)、 通 用 电气 公司 (General Eletric) 和 麻 省 
理工 学 院 (MIT) 等 合作 开发 名 为 MULTICS 的 用 于 大 型 机 的 操作 系统 , MULTICS 的 主要 
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设计 目标 是 提供 一 种 用 于 多 用 户 多 任务 的 大 规模 计算 环境 ,方便 实现 硬 、 软 件 资源 的 共享 。 
由 于 项 目 过 于 庞大 ,难以 达到 预期 目标 ,1969 年 , 因 MULTICS 计划 的 工作 进度 太 慢 ,该 计 
划 被 停 了 下 来 。MULTICS 虽然 失败 了 ,但 是 给 程序 员 积累 了 宝贵 的 经 验 。 

1969 年 ,Ken Thompson、Dennis Ritchie 和 其 他 参与 MULTICS 计划 的 一 些 人 重 回 贝 
尔 实验 室 ,在 一 台 闲 置 无 用 的 DEC PDP-7 机 器 上 研制 “太空 旅行 游戏 ,为 了 改善 研制 环境 ， 
他 们 经 过 一 番 艰 苦 的 努力 ,给 这 人 台 机 器 开发 了 新 的 操作 系统 ,这 就 是 最 初 的 UNIX 系统 ,从 
UNIX 的 名 字 就 可 以 知道 ,这 个 小 型 操作 系统 是 从 对 过 于 庞大 的 MULTICS 的 反省 中 诞生 的 
(UNIX 表示 “单一 ”, 而 MULTI 表示 众多) ,所 以 它 的 功能 被 大 幅度 简化 ,成 为 非常 单纯 的 OS。 

1971 年 ,Dennis Ritchie 开发 了 C 语言 ,并 于 1973 年 用 C 语言 重 写 了 UNIX, 从 而 
UNIX 与 C 语言 就 紧密 地 结合 在 一 起 ,这 一 实现 也 是 UNIX 变 成 开放 系统 的 重要 原因 。 

由 于 一 开始 无 法 进入 计算 机 市 场 ,AT&T 无 法 将 UNIX 作为 商品 出 售 , 于 是 贝尔 实验 
室 开始 向 大 学 .科研 机 构 免 费 发 放 UNIX 的 源 代码 ,这 使 得 大 批 优秀 的 计算 机 人 员 在 UNIX 
系统 上 被 培养 出 来 ,从 而 为 今后 更 广泛 地 应 用 、 开 发 UNIX 系统 打下 良好 的 基础 。 

1975 年 ,应 学 术 界 要 求 ,贝尔 实验 室 推 出 了 UNIX Version 6 ,直到 1977 年 UNIX 才 得 
到 商业 许可 ,1979 年 为 满足 商业 需求 推出 了 UNIX Version 7。 在 20 世纪 80 年 代 初 ， 
AT&.T 开发 了 UNIX 的 后 续 版 本 UNIX System 眶 和 System V 。 在 20 世纪 80 年 代 末 ， 
AT&&T 对 System V 的 命名 重新 标准 化 ,以 System V Release X 的 形式 表示 , 简 记 为 
SVRX, 这 些 版 本 都 是 以 第 7 版 为 基础 发 展 而 成 的 ,System V 3.2 和 System 4. 2 在 计算 机 
操作 系统 中 一 直 很 流行 。 

在 AT& 人 TT 发 展 UNIX 的 同时 ,许多 大 学 也 在 研究 UNIX, 加 利 福 尼 亚 大 学 的 程序 员 改 
动 AT&T 发 布 的 源 代码 ,开发 了 UNIX 的 伯克利 发 布 版 (Berkeley Standard Distribution， 
BSD) ,成 为 第 二 个 主要 的 UNIX 版 本 。 

在 UNIX 的 发 展 历史 中 ,还 产生 了 许多 其 他 的 商业 版 本 ,如 Sun Microsystems 公司 的 
SunOS/Solaris IJBM 公司 的 AIX、SCO 公司 的 SCO OpenServer 及 UNIXWare 7 等。 

Linux 是 类 UNIX 系统 ,或 者 说 它 是 UNIX 操作 系统 的 一 个 克隆 版 本 。 在 Linux 诞生 
之 前 ,为 了 教学 和 研究 的 需要 ,阿姆斯特丹 Vrije 大 学 的 计算 机 科学 家 Andrew S. 
Tanwnbaun 以 UNIX 为 蓝本 开发 了 Minix 作为 教育 工具 。1991 年 初 , 芬 兰 赫尔辛基 大 学 
学 生 Linus 开始 在 一 台 386sx 兼容 微机 上 学 习 Minix 操作 系统 。 通 过 学 习 , 他 逐渐 不 能 满 
足 于 Minix 系统 的 现 有 性 能 ,并 开始 酿造 开发 一 个 新 的 免费 操作 系统 ,1991 年 , Linus 在 
Minix 新 闻 组 上 发 帖 , 要 求 试用 他 写 的 操作 系统 ,得 到 了 计算 机 爱好 者 和 黑客 的 热烈 响应 ， 
从 此 ,改变 了 整个 计算 科学 领域 。 

1993 年 Linux 的 第 一 个 “产品 ”版 Linux 1.0 问世 ,在 这 个 版 本 发 布 之 初 ,系统 是 按 完全 
自由 扩散 版 权 进行 扩散 的 , 它 要 求 所 有 的 源码 必须 公开 ,而且 任何 人 都 不 能 从 Linux 交易 中 
获 利 , 但 很 快 Linux 的 创始 人 Linus 开始 意识 到 这 种 纯粹 的 自由 软件 发 布 方式 对 于 Linux 
的 扩散 和 发 展 大 大 不 利 , 因 为 它 使 Linux 无 法 以 磁盘 拷贝 或 者 CD-ROM 等 媒体 形式 进行 扩 
散 ,同时 也 因 无 利益 驱动 使 一 些 商业 公司 敬而远之 。 于 是 Linus 决定 转向 GPL 版 权 , 这 一 
版 权 除 了 规定 有 自由 软件 的 各 项 许可 之 外 ,还 允许 用 户 出 售 自己 的 程序 副本 。 事 实证 明 ,这 
一 版 权 上 的 转变 对 于 Linux 的 进一步 发 展 而 言 确实 极为 重要 ,从 此 以 后 , 便 有 多 家 技术 力量 
雄厚 又 善于 市 场 运作 的 商业 软件 公司 加 入 了 原先 完全 由 业余 爱好 者 和 网 络 黑客 组 成 的 
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Linux 开发 集团 。 紧 接着 多 种 Linux 版 本 如 雨后春笋 一 般 出 现在 市 场 上 ,这 些 版 本 增加 了 
更 易于 用 户 使 用 的 图 形 界 面 和 众多 的 软件 开发 工具 , 极 大 地 拓展 了 Linux 的 功能 和 影响 。 
世界 上 成 千 上 万 的 人 在 为 Linux 开发 软件 ,如 果 每 个 软件 都 让 Linux 使 用 者 自己 获取 安 
装 ,显然 是 不 现实 的 。 于 是 有 了 专门 的 公司 或 Linux 爱好 者 ,在 Linux 内 核 的 基础 上 ,加 入 
Linux 安装 程序 , 选 配 了 Linux 下 开发 的 大 量 应 用 软件 包 , 以 及 方便 的 管理 工具 等 ,并 提供 一 定 
的 技术 支持 ,久而久之 ,形成 了 不 同 的 发 行 版 本 ,RedHat、Debian 等 都 是 比较 著名 的 Linux 版 本 。 





6.9.2 UNIX/Linux 安全 机 制 


1. 标识 和 鉴别 

UNIX 中 拥有 最 高 权限 的 是 超级 用 户 (root), 其 功能 和 Windows NT 的 管理 员 
(Administrator) 功 能 类 似 ,作为 超级 用 户 可 以 执行 任何 操作 ,管理 一 切 资源 ,包括 用 户 账 
号 、 文 件 和 目录 、 网 络 资源 等 。 超 级 用 户 一 般 在 安装 系统 时 创建 ,其 他 用 户 为 普通 用 户 ,通常 
是 系统 安装 完成 后 由 管理 员 创建 ,这 类 用 户 只 能 访问 和 管理 有 限 资 源 ,也 称 受 限 用 户 。 

在 创建 普通 用 户 时 需要 设置 用 户 名 和 口令 信息 ,在 系统 内 部 具体 实现 中 ,系统 会 为 每 个 
用 户 分 配 一 个 唯一 的 标识 号 -UID, 例 如 超级 用 户 (root) 的 UID 为 0。 每 个 用 户 可 以 属于 一 
个 或 多 个 用 户 组 ,每 个 组 由 GID 唯一 标识 。 用 户 号 (UID) 和 用 户 组 号 (GID) 决 定 了 用 户 的 
访问 权限 。 

所 有 与 用 户 相 关 的 信息 存储 在 系统 的 /etc/passwd 文件 中 ,包含 用 户 的 登录 名 、 经 过 加 
密 的 口令 等 。 这 个 文件 的 拥有 者 是 超级 用 户 , 只 有 超级 用 户 拥 有 写 的 权力 ,而 普通 用 户 只 有 
读 的 权力 。 


#1s -1 /etc/passwd 
和 一 2=2== 人 == To0t Eee 


那么 ,/etc/passwd 文件 中 具体 包含 哪些 内 容 呢 ? 
#vi /etc/passwd 


如 图 6. 28 所 示 ,该 文件 是 一 个 典型 的 数据 库 文件 ,每 一 行 都 由 7 个 部 分 组 成 ,每 两 部 分 
之 间 用 冒号 分 隔 开 ,这 7 个 部 分 分 别 描述 了 以 下 信息 : 用 户 名 口令 ,用户 ID 用户 组 ID .用 
户 描述 、 用 户主 目录 、 用 户 的 登录 Shell, 下 面 分 别 描述 。 


root:x:0:0:root:/root:/ bin/bash 
bin:x:1:1:bin:/bin:/sbin/nologin 
daemon:x:2:2:daemon:/sbin:/sbin/nologin 
adm:x:3:4:adm:/var/adm:/sbin/nologin 
lp:x:4:7:]p:/var/spool/lpd:/sbin/nologin 
sync:x:5:0:sync:/ sbin:/bin/sync 

:0: 


news:x:9: 13:news:/etc/news: 
uucp:x:10:14:uucp:/var/ spool/uucp:/sbin/ nologin 
operator:x:11:0:operator:/root:/sbin/nologin 
games:x:12:100:games:/usr/games:/sbin/nologin 
gopher:x: 13:30:gopher: /var/ gopher:/ sbin/nologin 
ftp:x:14:50:FTP User:/var/itp:/sbin/nologin 
nobody:x:99:99: Nobody:/:/sbin/nologin 





图 6.28 /etc/passwd 文件 内 容 
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(1) 用 户 名 : 用 户 的 登录 名 。 

(2) 口令 : 用 户 的 口令 ,以 加 密 形 式 存 放 。 该 域 值 如 为 x 表示 口令 存储 在 /etc/ 
shadow 中 。 

(3) 用 户 IDCUID) : 系统 内 部 以 UID 标识 用 户 ,范围 为 0 一 32 767 之 间 的 整数 。 

(4) 用 户 组 ID(GID): 标志 用 户 所 在 组 的 编号 。 将 用 户 分 组 管理 是 UNIX 系统 对 权限 
管理 的 一 种 有 效 方式 。 假 设 有 一 类 用 户 都 要 赋予 某 个 相同 的 权限 ,如 果 给 用 户 分 别处 理 , 将 
会 很 复杂 ,如果 把 这 些 用 户 都 放 和 人 一 个 组 中 ,再 给 组 授权 ,就 容易 多 了 。 一 个 用 户 可 以 属于 
多 个 不 同 的 组 。 组 的 名 称 和 信息 放 在 另 一 个 系统 文件 /etc/group 中 ,与 用 户 标 识 符 一 样 ， 
GID 的 范围 也 是 0 一 32 767 之 间 的 整数 。 

(5) 用 户 描述 : 这 个 域 中 记录 的 是 用 户 本 人 的 一 些 情况 ,如 用 户 名 称 、 电 话 和 地 址 等 。 
该 域 的 作用 随 着 系统 功能 的 增强 ,已 经 失去 了 原来 的 意义 。 一 般 情况 下 ,约定 该 域 存放 用 户 
的 基本 信息 ,也 有 的 系统 不 需要 该 域 。 

(6) 用 户主 目录 : 这 个 域 用 来 指定 用 户 的 主 目录 (home) , 当 用 户 成 功 进入 系统 后 ,他 就 
会 处 于 自己 的 用 户主 目录 下 。 

一 般 情况 下 ,管理 员 将 在 一 个 特定 的 目录 里 依次 建立 各 个 用 户 的 主 目录 ,目录 名 一 般 就 
是 用 户 的 登录 名 。 用 户 对 自己 的 主 目录 有 完全 控制 的 权限 ,其 他 用 户 对 该 目录 的 权限 需要 
管理 员 手 动 分 配 。 

如 果 没 有 指定 用 户 的 主 目录 ,用 户 登 录 时 将 可 能 被 系统 拒绝 或 获得 对 根 目录 的 访问 权 ， 
这 是 非常 危险 的 。 

(7) 用 户 的 登录 Shell: Shell 程序 是 一 个 命令 行 解释 器 , 它 能 够 读 取 用 户 输入 命令 ,并 
将 执行 结果 返回 给 用 户 ,实现 用 户 与 操作 系统 的 交互 , 它 是 用 户 进 程 的 父 进程 ,用 户 进程 多 
由 Shell 程序 来 调用 执行 。 在 UNIX 系统 中 有 很 多 Shell 程序 ,如 /bin/sh、/bin/csh、/bin/ 
ksh 等 ,每 种 Shell 程序 都 具有 不 同 的 特点 ,但 基本 功能 是 一 样 的 。 

在 用 户 登 录 时 ,输入 用 户 名 .口令 信息 ,用 户 名 是 标识 , 它 告 诉 计算 机 该 用 户 是 谁 , 而 口 
令 是 确认 数据 。 当 用 户 输入 口令 时 ,UNIX 使 用 改进 的 DES 算法 (通过 调用 crypt() 函数 实 
现 ) 对 其 加 密 , 并 将 结果 与 存储 在 数据 库 中 的 加 密 用 户口 令 进行 比较 ,车 两 者 匹配 , 则 说 明 该 
用 户 为 合法 用 户 ,否则 为 非法 用 户 。 

为 了 防止 口令 被 非 授 权 用 户 盗用 ,对 其 设置 应 以 复杂 .不 可 猜测 为 标准 。 一 个 好 的 口令 
应 该 满足 长 度 和 复杂 度 要 求 ,并 且 定 期 更 换 ,通常 ,口令 以 加 密 的 形式 表示 ,由 于 /etc/ 
passwd 对 任何 用 户 可 读 , 故 常 成 为 口令 攻击 的 目标 ,在 后 期 的 UNIX 版 本 以 及 所 有 Linux 
版 本 中 ,引入 了 影子 文件 的 概念 ,将 密码 单独 存放 在 /etc/shadow 中 ,而 原来 /etc/passwd 文 
件 中 存放 口令 的 域 用 x 来 标记 。 文 件 /etc/shadow 只 对 root 用 户 开放 读 权 , 对 普通 用 户 不 
可 读 , 以 进一步 增强 口令 的 安全 。 

#1s -1 /etc/shadow 

看 一 0 一 一 root root 


/etc/shadow 每 一 行 记录 包含 9 个 字段 ,用 分 号 隔 开 , 如 图 6. 29 所 示 , 分 别 描述 用 户 


名 、 加 密 后 的 口令 信息 ,口令 的 有 效 期 等 信息 。 
在 Linux 系统 中 可 以 设置 用 户 锁定 策略 、 自 动 注销 时 间 等 以 增强 身份 认证 的 安全 性 。 
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root:$1$rsvQvlro$UqVal6mm lckLxQIzzHQOWa0:12524:0:99999:7::: 
bin:*:12524:0:99999:7::; 
daemon:*:12524:0:99999:7;;;: 
adm:*:12524:0:99999:7: 
lp:*:12524:0:99999:7: 
sync:*:12524:0:99999:7::: 
shutdown:*:12524:0:99999:7:;: 
halt:*:12524:0:99999:7::: 
mail:*;12524:0:99999 
news:*:12524:0;:99999:7;:; 
uucp:*:12524:0:99999:7. 
operator:*; 12524:0:9999 
games:*:12524:0:99999: 
gopher:*:12524:0:99999. 
ftp:*:12524:0:99999:7::: 
nobody:*:12524:0:99999:7;;: 





图 6.29 /etc/shadow 


1) 设置 账户 登录 失败 锁定 、 锁 定时 间 

编辑 文件 /etc/pam. d/system-auth, 查 看 有 无 “auth required pam-tally. so” 条 目的 设 
置 ,如 无 则 添加 该 条 目 并 设置 为 需要 的 策略 如 : 

#vi /etc/pam. d/system-auth 

设置 : auth required pam-tally. so onerr 一 fail deny 王 6 unlock-time=300 

将 设置 密码 连续 错误 6 次 锁定 ,锁定 时 间 为 300 秒 。 

2) 设置 自动 注销 时 间 

如 果 用 户 在 离开 系统 前 忘记 注销 账户 ,会 带 来 很 大 的 安全 隐患 ,应 该 设置 成 系统 能 够 自 
动 注销 账户 。 

编辑 文件 /etc/profice, 查 看 有 无 TIMEOUT 条 目的 设置 ,如 无 则 添加 该 条 目 并 设置 成 
需要 的 策略 。 

#vi /etc/profice 

并 设置 : TMOUT=600 

则 系统 中 登录 用 户 在 600 秒 内 没有 任何 操作 , 则 系统 自动 注销 该 用 户 。 

2. 访问 控制 


UNIX 系统 的 资源 访问 请 求 是 基于 文件 的 ,在 UNIX 系统 中 各 种 硬件 设备 .端口 甚至 
内 存 都 是 以 设备 文件 的 形式 存在 的 ,虽然 这 些 文件 和 普通 文件 在 实现 上 是 不 同 的 ,但 它 
们 对 外 提供 的 界面 是 一 样 的 ,这 样 就 给 UNIX 系统 资源 的 访问 控制 带 来 了 实现 上 的 
方便 。 

UNIX/Linux 提供 的 访问 控制 机 制 为 自主 访问 控制 ,采用 访问 控制 列表 方式 实现 ,将 用 
户 进 行 分 组 授权 ,一般 分 为 属 主 用 户 、 同 组 用 户 和 其 他 用 户 三 类 ,这 种 访问 控制 的 粒度 比较 
粗 , 无 法 实现 对 单个 用 户 的 授权 。 

1) 访问 权限 

命令 1s 可 列 出 文件 (或 目录 ) 对 系统 内 不 同 用 户 所 给 予 的 访问 权限 ,如 : 

-rw-r—r—l] root root 1397 Mar 7 10:20 passwd 
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其 他 用 户 的 权限 
同 组 用 户 的 权限 
文件 拥有 者 的 权限 
一 文件 类 型 

图 6.30 Linux 自主 访问 控制 








访问 权限 位 共有 9 位 ,分 为 三 组 ,用 以 指出 不 同类 型 的 用 户 对 该 文件 的 访问 权限 。 

权限 有 三 种 : 

(1) r 允许 读 ; 

(2) w 允许 写 ; 

(3) x 允许 执行 。 

用 户 有 三 种 类 型 ; 

(1) owner: 该 文件 的 属 主 ; 

(2) group: 与 该 文件 属 主 同 组 的 用 户 , 即 同 组 用 户 ; 

(3) other: 除 以 上 两 者 外 的 其 他 用 户 。 

图 6. 30 表示 文件 的 属 主 具有 读 写 及 执行 权限 (rwx), 同 组 用 户 允 许 读 和 执行 操作 
(rx) ,其 他 用 户 没有 任何 权限 。 在 权限 位 中 ,- 表 示 相 应 的 访问 权限 位 不 允许 。 

上 述 授权 模式 同样 适用 于 目录 ,目录 的 文件 类 型 为 4。 对 于 目录 的 读 权 限 是 指 用 1s 列 
出 目录 中 的 内 容 , 在 目录 中 增删 文件 需要 有 写 权 限 。 进 入 目录 或 将 该 目录 作 路 径 分 量 时 要 
求 有 执行 许可 ,因此 要 使 用 任 一 文件 ,必须 有 该 文件 及 找到 该 文件 所 在 路 径 上 所 有 目录 分 量 
的 相应 许可 。 仅 当 要 打开 一 个 文件 时 ,文件 的 许可 才 开始 起 作用 ,而 rm、mv 只 要 有 目录 的 
搜索 和 写 许 可 ,并 不 需要 有 关 文 件 的 许可 ,这 一 点 应 尤其 注意 。 

超级 用 户 对 任何 文件 或 目录 均 可 进行 任何 操作 ,具有 最 高 权力 ,这 样 方便 了 管理 员 
对 系统 的 管理 ,但 同时 也 是 一 个 潜在 的 安全 隐患 。 对 于 root 账户 的 使 用 ,需要 注意 以 下 
几 点 : 

(1) 除非 必要 ,尽量 避免 以 root 用 户 身 份 登录 ; 

(2) 不 要 随意 将 root Shell 留 在 终端 ; 

(3) 不 要 以 root 身份 运行 其 他 用 户 的 或 不 熟悉 的 程序 。 

2) 改变 权限 

改变 文件 的 访问 权限 可 使 用 chmod 命令 ,并 以 新 权限 和 该 文件 名 为 参数 ,格式 为 : 

chmod [一 REh] 访问 权限 文件 名 

chmod 也 有 其 他 方式 的 参数 可 直接 对 某 组 参数 进行 修改 , 详 见 UNIX 系统 的 联机 手 
册 。 合 理 的 文件 授权 可 防止 偶然 性 的 覆盖 或 删除 文件 ,改变 文件 的 属 主 和 组 名 可 用 chown 


和 chgrp, 但 修改 后 原 属 主 和 组 员 就 无 法 修改 回来 了 。 
文件 的 授权 可 用 一 个 4 位 的 八进制 数 表示 ,后 三 位 同 图 6. 30 所 示 的 三 组 权限 , 授 以 权 
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限时 许可 位 置 1, 不 授 以 权限 则 相应 位 置 0。 最 高 的 一 个 八进制 数 分 别 对 应 SUID 位 .SGID 
位 、sticky 位 ,其 中 前 两 个 与 安全 有 关 , 将 其 作为 特殊 权限 位 在 下 一 节 中 进行 描述 。 

umask(UNIX 对 用 户 文件 模式 屏蔽 字 的 缩写 ) 也 是 一 个 4 位 的 八进制 数 ,UNIX 用 它 确 
定 一 个 新 建文 件 的 授权 。 每 一 个 进程 都 有 一 个 从 它 的 父 进程 中 继承 的 umask。umask 说 明 
要 对 新 建文 件 或 新 建 目录 的 默认 授权 加 以 屏蔽 的 部 分 。 

新 建文 件 的 真正 访问 权限 二 (一 umask) & (文件 授 权 ) 

UNIX 中 相应 有 umask 命令 , 若 将 此 命令 放 和 用户 的 . profile 文件 ,就 可 控制 该 用 户 后 
续 所 建文 件 的 访问 许可 。umask 命令 与 chmod 命令 的 作用 正好 相反 , 它 告诉 系统 在 创建 文 
件 时 不 给 予 什么 访问 权限 。 

3) 特殊 权限 位 

有 时 没有 被 授权 的 用 户 需 要 完成 某 些 要 求 授 权 的 任务 ,如 对 于 普通 用 户 ,应 该 允许 通过 
passwd 命令 改变 自身 的 口令 ,但 是 这 势必 涉及 到 对 /etc/passwd 文件 的 修改 操作 ,而 普通 用 
户 不 拥有 直接 修改 /etc/passwd 文件 的 权力 ,以 防止 改变 其 他 用 户 的 口令 。 为 了 解决 这 个 
问题 ,UNIX 允许 对 可 执行 的 目标 文件 (只 有 可 执行 文件 才 有 意义 ) 设 置 SUID(Set User 
ID) 或 SGID(Set Group ID) ,允许 用 户 以 特殊 权限 来 运行 程序 。 

如 前 所 述 , 当 一 个 进程 执行 时 就 被 赋予 4 个 编号 ,以 标识 该 进程 隶属 于 谁 ,分 别 为 实 
际 和 有 效 的 UID、 实 际 和 有 效 的 GID。 有 效 的 UID 和 GID 一般 和 实际 的 UID 和 GID 相 
同 , 有 效 的 UID 和 GID 用 于 系统 确定 该 进程 对 于 文件 的 访问 许可 。 而 设置 可 执行 文件 的 
SUID 许可 将 改变 上 述 情况 , 当 设 置 SUID 时 ,进程 的 有 效 UID 为 该 可 执行 文件 的 所 有 者 
的 有 效 UID, 而 不 是 执行 该 程序 的 用 户 的 有 效 UID, 这 样 程序 的 所 有 者 将 可 通过 程序 的 
控制 在 有 限 的 范围 内 向 用 户 发 布 不 允许 被 公众 访问 的 信息 。 同 样 ,SGID 是 设置 有 效 
的 GID。 

#1s -a /usr/bin/passwd 

检 一 rwsr—xr-x1 root root 

/usr/bin/passwd 就 是 一 个 s 位 程序 ,普通 用 户 执行 该 程序 时 ,进程 的 有 效 UID 就 改变 
为 /usr/bin/passwd 这 个 可 执行 文件 的 属 主 root, 因 此 可 以 修改 自己 的 口令 。 

用 “chmod u 十 s 文件 名 ”和 “chmod u 一 s 文件 名 ”来 设置 和 取消 SUID 设置 ,用 “chmod g 十 s 
文件 名 ”和 “chmod g 一 s 文件 名 ”来 设置 和 取消 SGID 设置 。 

SUID 程序 会 使 普通 用 户 权 限 得 到 提升 ,从 而 给 系统 安全 带 来 威胁 ,为 了 保证 SUID 程 
序 的 安全 性 ,系统 管理 员 应 对 系统 中 所 有 设置 SUID 或 SGID 的 程序 进行 定期 的 检查 和 监 
视 , 严 格 限制 功能 范围 ,不 能 有 违反 安全 性 规则 的 SUID 程序 存在 ,并 且 要 保证 SUID 程序 
自身 不 能 被 任意 修改 。 

3. 审计 


审计 是 UNIX 安全 机 制 的 重要 组 成 部 分 , 它 通过 对 安全 相关 事件 进行 记录 和 分 析 , 发 
现 违反 安全 策略 的 活动 ,确保 安全 机 制 正 确 工作 并 能 对 系统 异常 及 时 报警 提示 。 审 计 记 录 
常 写 在 系统 的 日 志文 件 中 ,丰富 的 日 志 为 UNIX 的 安全 运行 提供 了 保障 。 常 见 的 日 志文 件 
如 表 6. 8 所 示 。 
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表 6.8 审计 文件 

日 志文 件 说 明 

acct 或 pacct 记录 每 个 用 户 使 用 过 的 命令 

aculog 筛选 出 modems( 自 动 呼叫 部 件 ) 记 录 

lastlog 记录 用 户 最 后 一 次 成 功 登录 和 最 后 一 次 登录 失败 的 时 间 

loginlog 记录 不 良 的 登录 尝试 记录 

messages 记录 输出 到 系统 主 控 台 及 由 syslog 系统 服务 程序 产生 的 信息 

sulog 记录 su 命令 的 使 用 情况 

utmp 记录 当前 登录 的 每 个 用 户 

wtmp 记录 每 一 次 用 户 登 录 和 注销 的 历史 信息 ,以 及 系统 关 和 开 

xferlog 记录 ftp 的 访问 情况 

Linux 系统 中 传统 的 审计 机 制 是 Syslogd 和 
Klogd。Syslog 是 一 个 应 用 层 的 审计 机 制 , 允 许 应 
用 程序 将 审计 信息 传递 给 系统 日 志 守 护 程序 





Syslogd, 由 Syslogd 根据 配置 文件 (/etc/syslogd [配置 文件 88 流程 | 
. conf) 将 收 到 的 信息 按 类 型 作 相 应 处 理 , 写 入 不 同 








的 日 志文 件 ,如 图 6. 31 所 示 。 另 外 ,也 允许 内 核 消 各 种 系统 日 志文 件 
息 守 护 进 程 Klogd 将 内 核 中 通过 Printk 打印 出 的 6.31 审计 机 制 
消息 写 人 日 志文 件 。 


Linux 传统 的 审计 方式 具有 很 大 的 局 限 性 。 首 先 , 它 不 能 提供 系统 级 审计 记录 。 
Syslogd 只 能 接收 由 应 用 程序 产生 的 日 志 信 息 , 而 Klogd 只 能 接收 内 核 中 由 Printk 打印 出 
的 消息 ,这 两 种 方式 审计 信息 量 获取 有 限 , 审 计 记 录 不 够 详细 。 其 次 ,就 应 用 层 审计 而 言 ， 
Syslog 也 是 有 局 限 性 的 。Syslog 产生 的 审计 信息 完全 依赖 于 应 用 程序 。 如 果 入 侵 者 熟悉 
Syslog 的 工作 方式 ,就 可 以 模仿 与 某 个 应 用 程序 相同 的 方式 写 信 日志, 伪造 出 虚假 的 审计 
数据 。 一 旦 某 个 收集 审计 数据 的 外 部 服务 程序 被 恶意 用 户 杀 掉 后 ,由 该 服务 程序 所 收集 
的 某 类 审计 记录 就 不 会 产生 ,这 样 审计 系统 也 就 达 不 到 记录 所 有 安全 相关 系统 活动 的 
目的 。 

为 了 达到 TCSEC 所 规定 的 C2 级 的 审计 标准 ,当前 的 UNIX/Linux 系统 都 对 传统 审计 
机 制 进行 了 改进 和 增强 。 


6.10 隐蔽 信道 


信息 系统 使 用 自主 访问 控制 和 强制 访问 控制 策略 来 约束 合法 通道 中 的 信息 流动 , 合 
法 通道 主要 是 指 文 件 和 共享 内 存 等 。 人 们 在 实践 中 发 现 , 恶 意 用 户 还 可 以 利用 信息 系统 
中 原本 不 用 于 通信 的 通道 来 传递 信息 ,例如 系统 存储 位 置 、 定 时 设备 等 , 常 称 为 隐蔽 


信道 。 
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隐蔽 信道 的 概念 最 早 是 由 Lampson 提出 的 ,他 将 隐蔽 信和 定义 为 : 如 果 一 个 通信 信 
道 不 是 被 设计 用 来 传输 信息 的 ,那么 此 信道 是 隐蔽 的 。1985 年 美国 国防 部 发 布 的 可 信 
计算 机 系统 安全 评价 标准 (TCSEC) 中 将 隐蔽 信道 定义 为 : 任何 在 违背 系统 安全 策略 的 
情况 下 被 用 来 传输 信息 的 通信 信道 。 我国 的 计算 机 信息 系统 安全 保护 等 级 划分 准则 
(GB 17859-1999) 中 把 隐蔽 信道 定义 为 : 允许 进程 以 危害 系统 安全 策略 的 方式 传输 信息 
的 通信 信道 。 

按照 信息 传递 的 方式 和 方法 区 分 ,隐蔽 通道 分 为 存储 隐蔽 通道 和 时 间 隐 蔽 通道 。 存 储 
隐蔽 通道 是 指 两 个 进程 利用 不 受 安 全 策略 控制 的 存储 单元 传递 信息 ,前 一 个 进程 通过 改变 
存储 单元 的 内 容 发 送信 息 , 后 一 个 进程 通过 观察 存储 单元 的 变化 来 接收 信息 。 时 间 隐 项 通 
道 是 指 一 个 进程 通过 调整 使 用 的 系统 资源 (例如 CPU 时 间 ) ,从 而 影响 到 实际 的 响应 时 间 ， 
另 一 个 进程 通过 观察 响应 时 间 ,获取 相应 的 信息 。 时 间 信 道 也 被 称 为 无 记忆 信道 ,因为 它 无 
法 长 久 地 存储 信息 。 接 收 者 必须 及 时 接收 发 送 者 发 送 的 信息 ,否则 这 些 信息 就 会 消失 。 存 
储 信 道 又 称 为 记忆 信道 ,因为 敏感 数据 存储 在 特定 存储 单元 中 ,只 要 该 单元 还 存在 ,敏感 信 
息 就 能 继续 存在 。 

为 了 应 对 隐蔽 信道 的 威胁 .在 TCSEC 标准 中 要 求 B2 级 以 上 的 系统 评估 必须 包括 隐蔽 
信道 分 析 , 并 且 随 着 评估 级 别 的 升 高 ,对 隐藏 信道 的 分 析 要 求 也 越 来 越 严格 。 隐 蔽 信道 分 析 
的 主要 目的 在 于 找到 系统 的 漏洞 ,并 进一步 分 析 这 些 漏 洞 ,以 确定 其 潜在 的 危害 。 隐 蔽 信道 
分 析 工 作 包括 信道 识别 .度量 和 处 置 。 信 道 识别 是 对 系统 的 静态 分 析 ,强调 对 设计 和 代码 进 
行 分 析 发 现 所 有 潜在 的 隐蔽 信道 。 信 道 度量 是 对 信道 传输 能 力 和 威胁 程度 的 评价 。 信 道 处 
置 措施 包括 信道 消除 .限制 和 审计 。 隐 项 信道 消除 措施 包括 修改 系统 、 排 除 产生 隐蔽 信道 的 
源头 、 破 坏 信 道 的 存在 条 件 。 限 制 措施 要 求 将 信道 危害 降低 到 系统 能 够 容忍 的 范围 内 。 但 
是 ,并 非 所 有 的 潜在 隐蔽 信道 都 能 被 人 侵 者 实际 利用 ,如 果 对 所 有 的 潜在 隐蔽 信道 进行 度量 
和 处 置 会 产生 不 必要 的 性 能 消耗 ,降低 系统 效率 。 隐 项 信道 检测 则 强调 对 潜在 隐蔽 信道 的 
相关 操作 进行 监测 和 记录 ,通过 分 析 记 录 ,检测 出 入 侵 者 对 信道 的 实际 使 用 操作 ,为 信道 度 
量 和 处 置 提供 依据 。 


6.11 小 结 


信息 安全 基础 设施 的 关键 是 安全 操作 系统 ,没有 操作 系统 的 安全 ,就 不 可 能 真正 解 
决 数据 库 安全 、 网 络 安全 和 其 他 应 用 系统 的 安全 问题 。 本 章 首先 补充 了 操作 系统 基础 知 
识 , 包 括 系统 调用 和 进程 的 概念 ,在 此 基础 上 ,详细 介绍 了 操作 系统 的 安全 机 制 ,包括 操 
作 系统 的 存储 保护 、 身 份 认证 访问 控制 .审计 技术 等 。 操 作 系统 的 存储 保护 机 制 与 具体 
采用 的 存储 管理 方式 密切 相关 ,因而 本 章 首 先 详 细 介 绍 了 分 区 式 存储 管理 、 分 页 存储 管 
理 、 分 段 存 储 管理 ,虚拟 存储 管理 等 各 种 存储 管理 方式 的 原理 ,在 此 基础 上 ,介绍 了 各 种 存储 
管理 方式 的 存储 保护 手段 。 最 后 介绍 了 两 种 主流 操作 系统 Windows 和 Linux 所 采用 的 安 
全 机 制 。 
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一 、 填空 题 
. 威胁 操作 系统 安全 的 因素 主要 有 
.操作 系统 的 主要 功能 包括 和 








. 操作 系统 中 最 基本 、 最 重要 的 概念 是 

. 进程 在 执行 过 程 中 至 少 有 三 种 状态 : 
是 进程 存在 的 唯一 标识 。 

.Linux 中 采用 系统 调用 创建 子 进 程 





站 宁 





8. 是 系统 审计 用 户 操作 的 最 基本 单位 。 
9. 存储 保护 主要 涉及 防止  、 ，。 


10. 虚拟 分 页 存储 管理 的 主要 思想 是 
11. 在 请 求 分 页 虚拟 存储 管理 系统 中 ， 要 要 访问 的 页 不 在 内 存 ， 系统 会 触发 





地 : 是 系统 审计 用 户 操作 的 最 基本 单位 。 
区 是 有 效 实 现 最 小 特权 的 机 制 。 
14. Windows 身份 认证 的 实现 主要 包括 e a 三 个 组 件 。 





. 把 逻辑 地 址 转换 为 物理 地 址 的 过 程 称 为 ,主要 有 两 种 方式 ,包括 


15，Windows 安全 子 系统 中 实现 自主 访问 控制 主要 包含 5 个 关键 的 组 件 : 


、 ~ 





二 、 选择 题 
1. Windows 主机 推荐 使 用 ( ”) 格 式 。 
A. NTFS B. FAT32 C. FAT D. Linux 
2. 将 test 及 其 下 的 所 有 目录 及 文件 的 属 主 改 为 test、 属 组 改 为 xmb 的 命令 为 ( 
A. chown -R test:xmb test B. chown -R xmbl:test test 
C. chown test:xmb test D. chown xmb:test test 
3，UNIX/Linux 系统 中 ,下 列 命令 可 以 将 普通 账号 变 为 root 账号 的 是 (  )。 
A. chmod 命令 B. /bin/passwd 命令 
C. chgrp 命令 D. /bin/su 命令 


4. 保障 UNIX/Linux 系统 账号 安全 最 为 关键 的 措施 是 (。”)。 
A. 文件 /etc/passwd 和 /etc/group 必须 有 写 保护 
B. 删除 /etc/passwd、/etc/group 
C. 设置 足够 强度 的 账号 密码 
D. 使 用 shadow 密码 
5. Windows 系统 中 的 审计 日 志 不 包括 ( 。 )。 
. 系统 日 志 (SystemLog) B. 安全 日 志 (SecurityLog) 
全 0 日 志 (ApplicationLog) D. 用 户 日 志 (UserLog) 
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、 简 答题 
. 操作 系统 面临 哪些 安全 问题 ? 
. 操作 系统 安全 的 主要 目标 是 什么 ? 实现 操作 系统 安全 目标 需要 建立 哪些 安全 措施 ? 
. Windows 系统 的 安全 子 系统 组 件 有 哪些 ? 
. 请 描述 各 种 存储 管理 方式 如 何 进行 存储 保护 。 
.操作 系统 提供 的 安全 机 制 有 哪些 ? 
什么 是 静态 地 址 重 定位 ,什么 是 动态 地 址 重 定位 ? 
. 简 述 分 页 存储 管理 的 主要 思想 。 
. 审计 的 作用 是 什么 ? 
. 什么 是 最 小 特权 管理 ? 
10. 简 述 Linux 安全 机 制 。 
11. 知识 扩展 : 访问 安 盟 电子 信息 安全 公司 的 主页 http://www. anmeng. com. cn, 进 
一 步 了 解 身份 认证 产品 的 原理 及 其 应 用 。 


CoN 
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数据 库 技术 从 20 世纪 60 年 代 产生 至 今 ,已 得 到 快速 的 发 展 和 广泛 的 应 用 。 当 前 ,信息 
系统 大 多 采用 数据 库存 储 和 管理 大 量 关 键 数据 ,是 攻击 者 攻击 的 主要 目标 。 数 据 库 系统 面 
临 的 安全 威胁 和 风险 越 来 越 大 ,数据 库 安 全 是 信息 系统 安全 的 重要 组 成 部 分 ,要 通过 数据 库 
管理 系统 DBMS 的 安全 控制 机 制 来 实现 。 本 章 主要 介绍 数据 库 系 统 安全 方面 的 知识 。 

本 章 的 主要 内 容 安排 如 下 : 7.1 节 、7.2 节 对 数据 库 的 安全 性 进行 总 体 介绍 ,包括 数据 
库 安全 的 定义 ,数据库 安全 研究 的 发 展 历 史 和 研究 现状 等 ; 7. 3 节 介 绍 数据 库 系统 的 身份 
认证 技术 ,包括 数据 库 中 身份 认证 的 概念 和 必要 性 、 身 份 认证 技术 在 数据 库 系统 中 的 应 用 方 
法 等 内 容 ; 7.4 节 介 绍 数据 库 系 统 访问 控制 技术 ,包括 关系 型 数据 库 的 自主 访问 控制 ,强制 
访问 控制 和 基于 角色 的 访问 控制 技术 ; 7. 5 节 介绍 数据 库 系统 安全 审计 技术 ,包括 数据 库 
安全 审计 的 概念 和 必要 性 ,数据 库 安全 审计 的 实施 方法 ; 7. 6 节 介 绍 数据 库 系统 的 备份 与 
恢复 技术 ; 7.7 节 介 绍 数据 库 的 存储 和 传输 加 密 技 术 ; 7. 8 节 以 Oracle 为 例 介绍 数据 库 系 
统 中 的 高 级 安全 技术 ; 7.9 节 简 要 介绍 了 数据 库 安全 评估 的 基本 要 求 ,发 展 历史 和 评估 准 
则 ; 7. 10 节 对 本 章 内 容 进行 了 小 结 。 


7.1 数据 库 安 全 概述 


7.1.1 数据 库 安 全 定义 


目前 ,学 术 界 对 数据 库 安 全 尚 无 公认 的 权威 定义 ,我 国 公安 部 的 行业 标准 “GA/T 389- 
2002 计算 机 信息 系统 安全 等 级 保护 数据 库 管 理 系统 技术 要 求 " 对 数据 库 安全 的 定义 为 : 数 
据 库 安 全 就 是 保证 数据 库 信 息 的 保密 性 、 完 整 性 .一致 性 和 可 用 性 。 保 密 性 是 指 保护 数据 库 
中 的 数据 不 被 泄露 和 未 授权 的 获取 ; 完整 性 是 指 保护 数据 库 中 的 数据 不 被 非 授 权 用 户 破坏 
和 删除 ; 一 致 性 是 指 确保 数据 库 中 的 数据 满足 实体 完整 性 参照 完整 性 和 用 户 定义 完整 性 要 
求 ; 可 用 性 是 指 确保 数据 库 中 的 数据 不 因 人 为 的 和 自然 的 原因 对 授权 用 户 不 可 用 。 

当前 ,数据库 面临 的 安全 威胁 主要 可 分 为 物理 上 的 威胁 和 逮 辑 上 的 威胁 。 物 理 上 的 威 
胁 是 如 水 灾 、 火 灾 等 造成 的 硬件 故障 ,从 而 导致 数据 的 损坏 和 丢失 等 。 为 了 消除 物理 上 的 威 
胁 通常 采用 备份 和 恢复 的 策略 。 逻 辑 上 的 威胁 主要 是 指 对 信息 的 未 被 授权 存 取 , 可 以 分 为 
三 类 : @ 信 息 泄露 ,包括 直接 和 非 直 接 (通过 推理 ) 地 对 保护 数据 的 存 取 ; @ 非 法 的 数据 修 
改 , 由 操作 人 员 的 失误 或 非法 用 户 的 故意 修改 引起 ; @ 拒 绝 服 务 , 通 过 独占 系统 资源 导致 其 
他 用 户 不 能 访问 数据 库 。 为 了 消除 逻辑 上 的 威胁 ,DBMS 必须 提供 可 靠 的 安全 策略 ,以 确 
保 数据 库 的 安全 性 。 


7.1.2 数据 库 安 全 与 操作 系统 的 关系 
在 数据 库 发 展 的 初期 ,信息 安全 主要 是 依靠 操作 系统 的 文件 管理 功能 ,利用 访问 控制 矩 
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阵 , 实 现 对 各 类 文件 进行 的 授权 读 写 和 执行 等 ,其 次 ,还 依靠 操作 系统 的 监控 程序 进行 用 户 
登录 和 口令 鉴别 的 控制 。 数据库 广 泛 使 用 之 后 ,由 于 数据 库 提 供 了 比 文件 管理 系统 更 强 的 
功能 ,其 共享 程度 更 高 ,操作 方便 ,而 且 含 有 重要 的 程序 和 不 同 级 别 的 各 类 数据 ,因此 数据 安 
全 显得 尤为 重要 ,有 必要 专门 研究 其 数据 保护 机 制 。 原 来 用 于 操作 系统 文件 管理 的 一 些 保 
护 措施 可 以 借用 到 数据 库 的 安全 保护 中 来 ,但 是 数据 库 安 全 同 操作 系统 安全 之 间 存 在 着 某 
些 差别 ,例如 : 

(1) 数据 库 实行 保护 的 对 象 更 多 ,不 仅仅 只 限于 文件 。 

(2) 数据 库 中 数据 的 生命 周期 通常 要 长 一 些 , 数 据 库 安全 涉及 不 同 层次 ,如 文件 数据 
库 记 录 和 记录 中 的 数据 项 。 

(3) 操作 系统 保护 实际 的 资源 ,而 数据 库 系 统 保护 对 象 中 的 某 些 对 象 可 能 具有 复杂 的 
逻辑 结构 , 某 些 对 象 可 能 反映 同一 物理 对 象 。 

(4) 不 同 的 结构 层 , 如 数据 库 的 内 模式 、 概 念 模式 和 外 模式 要 求 有 不 同 的 安全 保护 。 

(5) 数据 库 安 全 是 涉及 数据 的 语义 以 及 数据 的 物理 表示 。 

图 7.1 给 出 了 数据 库 安全 实现 过 程 概貌 图 。 
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图 7.1 数据 库 安全 实现 过 程 概貌 图 


从 这 些 差 别 来 看 ,数据 库 的 安全 保护 要 求 , 要 比 操作 系统 更 高 更 复杂 。 从 数据 库 安全 的 
角度 来 看 ,操作 系统 只 提供 文件 级 的 管理 与 控制 ,而 数据 库 的 程度 更 细 、 控 制 对 象 更 多 ,包括 
文件 .记录 和 数据 项 等 。 因 此 ,数据库 安 全 所 要 研究 的 内 容 是 十 分 广泛 的 。 研 究 设计 一 个 数 
据 库 系统 ,所 涉及 的 安全 性 问题 包括 用 户 身份 鉴别 .事务 处 理 存 取 检 查 .授权 规则 、` 语 义 完 整 
性 检查 、 用 户 登录 鉴别 ,审计 追踪 、 操 作 系统 检查 ,文件 检 查 、 实 体 保护 .数据 库 并 发 控制 、 数 
据 库 恢 复 ,统计 数据库 安全 与 推理 控制 以 及 分 布 式 数据 库 安全 等 各 个 方面 。 本 节 将 简要 介 
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绍 数 据 库 安全 的 原理 ,以 及 实现 数据 库 安 全 的 重要 策略 和 基本 方法 。 为 了 对 数据 库 安 全 的 
整体 有 个 完整 的 概念 ,用 图 7. 1 来 表示 数据 库 安全 实现 过 程 的 总 概貌 ,数据 库 系 统 的 事务 处 
理 安全 检查 过 程 详 细 说 明 如 下 。 

(1) 身份 鉴别 及 登录 机 制 , 用 户 请 求 访问 时 根据 用 户 给 定 的 标识 进行 识别 ,验证 其 身 
份 。 最 常用 的 用 户 标识 是 口令 , 即 只 有 用 户 知道 的 一 串 字 母 .数字 的 组 合 。 用 户 标识 也 可 以 
是 IC 卡 .USB Key 等 计算 机 系统 可 以 识别 的 东西 。 更 先进 的 用 户 标 识 是 用 户 的 生理 特征 ， 
诸如 指纹 ,虹膜 等 。 鉴 别 机 制 将 用 户 提供 的 标志 (例如 口令 ) 与 存储 在 用 户 表 中 的 用 户 标识 
进行 对 照 ,以 确定 申请 认证 的 用 户 是 否 合法 。 用 户 表 中 的 口令 文件 应 该 用 密 文 存放 ,这 样 可 以 
防止 有 人 偷窃 了 系统 的 用 户 表 , 获 取 明 文 的 用 户 名 和 口令 ,而 伪造 合法 用 户 进 行 登录 。 此 外 ， 
通过 身份 鉴别 和 登录 认证 机 制 , 可 以 确定 用 户 以 什么 级 别 进 入 系统 ,并 登记 用 户 进 入 的 时 间 。 

(2) 经 认证 机 制 核查 ,用 户 可 向 系统 申请 事务 处 理 。 

(3) 由 访问 控制 机 制 对 用 户 被 授权 使 用 的 事务 处 理 进行 核对 其 权限 表 , 然 后 排队 调度 
事务 处 理 。 

(4) 事务 执行 时 可 能 要 调用 应 用 程序 库 中 的 程序 。 

(5) 应 用 程序 执行 时 ,访问 请 求 进 入 数据 库 管 理 系统 (Database Management System， 
DBMS) ,通过 查 数据 字典 ,组 织 和 完成 对 数据 库 的 访问 。 

(6) DBMS 进行 必要 的 检查 ,以 组 织 对 数据 库 的 数据 访问 ,并 完成 必要 的 授权 检查 。 

(7) DBMS 应 在 执行 时 进一步 核对 事务 处 理 请 求 的 权限 ,并 对 并 发 用 户 的 更 新 操作 提 
供 控 制 ,以 避免 改变 数据 库 的 完整 性 。 还 要 保留 数据 访问 的 每 次 登录 信息 ,以 供 审计 和 恢复 
DB 时 使 用 。 

(8) 请 求 DB 生效 后 ,DBMS 就 按 子 模 式 到 内 模式 、 再 到 物理 存储 的 映射 ,把 访问 转换 
成 一 个 W/O 请 求 , 然 后 通过 操作 系统 来 完成 ,这 期 间 可 能 要 进行 操作 系统 的 检查 。 

(9) 对 操作 系统 的 功能 ,以 及 文件 的 使 用 做 进一步 核查 . 并 提供 硬件 保护 ,确保 数据 的 
正确 传送 。 

(10) 最 后 ,存放 在 数据 缓冲 里 的 信息 可 能 是 加 密 存 放 或 是 留 有 后 备 副 本 以 作 恢复 之 
用 的 。 

DBMS 中 的 安全 性 最 终 要 靠 操 作 系统 和 硬件 设备 所 提供 的 环境 实现 ,如 果 操作 系统 
允许 用 户 直接 存 取 数 据 库 文件 ,在 DBMS 中 哪怕 采取 最 可 靠 的 安全 措施 也 是 没 用 的 。 为 
了 保证 数据 库 的 安全 ,需要 一 个 可 靠 的 操作 系统 ,操作 系统 应 该 至 少 提供 下 列 安全 控制 
功能 。 

(1) 保护 DBMS ,防止 用 户 程序 对 其 进行 修改 ,尤其 是 DBMS 中 的 访问 控制 机 制 。 

(2) 要 对 内 存 缓冲 区 中 的 数据 提供 保护 , 当 敏 感 数据 存放 在 内 存 缓冲 区 中 时 ,必须 防止 
非 授 权 用 户 对 其 进行 读 写 。 

(3) 防止 DBMS 之 外 的 程序 对 数据 库 直 接 进行 存 取 , 即 除了 DBMS 之 外 , 别 的 程序 不 
能 对 外 存 中 的 数据 库 文件 直接 进行 存 取 。 

(4) 进行 正确 的 物理 I/O, 保 证 正确 地 读 取 数 据 库 文件 。 

(5) 提供 可 靠 的 数据 通信 信道 ,通过 通信 线路 传输 数据 时 ,应 对 其 提供 保护 ,防止 泄露 
或 被 算 改 。 
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7.2 数据 库 安全 的 发 展 历史 


在 数据 库 安 全 的 理论 研究 中 ,国外 的 研究 主要 包括 : 

(1) 安全 模型 的 研究 及 其 实用 化 。 提 出 了 以 SeaView 模型 LDV 模型 SWORD 模型 
为 代表 的 关系 数据 库 的 安全 模型 和 原型 实现 。 

(2) 针对 数据 库 技术 的 发 展 ,对 一 些 非 关 系 模型 的 数据 库 系统 ,如 面向 对 象 数据 库 系 
统 、 多 媒体 数据 库 系统 的 安全 模型 进行 了 研究 。 

(3) 对 安全 数据 库 系 统 中 的 推理 控制 问题 进行 了 研究 。 

(4) 数据 仓库 的 安全 保密 问题 。 

(5) 对 一 些 特定 的 数据 库 应 用 系统 ,如 美国 的 医疗 数据 库 系 统 的 特殊 安全 需求 和 实 
现 等 。 

随 着 数据 库 安全 理论 和 技术 的 发 展 ,为 了 满足 对 安全 数据 库 系统 越 来 越 迫切 的 需求 , 国 
外 各 大 数据 库 厂商 纷纷 推出 了 各 自 的 安全 数据 库 产品 ,如 ORACLE 公司 的 Trusted 
Oracle、Informix 公司 的 Informix-online Secure、Sybase 公司 的 Secure SQL Server 等 产品 。 

基于 对 安全 数据 库 的 需求 ,国内 学 术 界 对 数据 库 的 安全 问题 也 进行 了 研究 ,从 目前 掌握 
的 资料 看 ,国内 对 数据 库 安全 的 研究 无 论 是 在 理论 上 还 是 在 相关 实用 产品 上 都 落后 于 国外 ， 
国外 几 大 数据 库 厂商 的 低 安全 级 别 的 数据 库 产品 占据 了 国内 的 大 部 分 市 场 。 国 内 的 电信 、 
金融 .电力 .保险 等 行业 基本 上 都 采用 的 是 ORACLE、Sybase、Microsoft 三 大 数据 库 厂商 和 
IBM 微软 的 低 安全 级 别 的 数据 库 产品 。 国 内 对 数据 库 系 统 的 开发 基本 停留 在 大 学 等 研究 
机 构 的 实验 室内 ,其 种 类 较 少 .应 用 范围 也 较 窗 ,如 东北 大 学 国家 软件 工程 研究 中 心 开发 的 
OpenBase 北京 大 学 和 中 国人 民 大 学 合作 开发 的 KingBase、 华 中 科技 大 学 开发 的 DM 数据 
库 系 统 等 ,其 市 场 份额 较 小 。 

在 安全 数据 库 的 理论 与 实践 研究 中 ,华中 科技 大 学 对 数据 库 安全 策略 .安全 模型 加密 
算法 等 方面 进行 了 研究 。 在 开发 安全 数据 库 系统 方面 ,主要 取得 的 成 果 有 

(1) 外 包 式 的 多 级 安全 RDBMS 实验 系统 ,主要 是 利用 ORACLE RDBMS 提供 的 PRO * 
C 和 OCI 接口 实现 ,在 扩展 ORACLE 使 用 的 SQL 语言 和 SQL* PLUS 的 基础 上 ,构造 了 
新 的 安全 数据 库 操作 语言 SSQL, 含 有 较为 完善 的 强制 访问 控制 和 数据 加 密 机 制 。 由 于 其 
仅仅 是 一 个 实验 系统 ,存储 效率 不 高 ,而且 一 些 如 索引 等 机 制 没 有 实现 ,距离 实用 化 有 相当 
的 距离 。 

(2) 多 级 安全 数据 库 原型 MLS DBMS 是 在 UNIX 平台 上 进行 的 ,目的 是 探索 将 各 种 数 
据 库 安全 机 制 嵌 入 DBMS 中 ,而 DBMS 本 身 的 性 能 功能、 效率 并 未 作 过 多 要 求 。 

人 民 大 学 与 北京 大 学 合作 进行 的 国家 九 五 项 目 (国产 化 关系 数据 库 管 理 系统 Cobase 
V2.0) 是 在 八 五 期 间 开 发 的 Cobase V1.0 的 基础 上 进行 的 安全 版 设计 ,达到 了 美国 国防 部 
标准 Bl 级 ,实现 了 安全 性 标识 ,强制 访问 控制 和 审计 功能 。 由 于 Cobase V1.0 是 一 个 功能 
完备 的 多 用 户 关系 型 数据 库 管理 系统 ,具有 以 自主 访问 控制 为 主 的 安全 特征 。Cobase V2. 0 
充分 利用 原 有 系统 为 基础 ,严格 遵循 Bl 级 标准 ,作为 一 个 小 型 而 性 能 完备 的 安全 DBMS 基 
本 达到 了 实用 化 的 程度 。 
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DBMS 能 和 否 获得 广泛 使 用 ,其 性 能 是 最 为 重要 的 一 点 。 在 不 降低 性 能 或 者 尽 可 能 少 降 
低 性 能 的 基础 上 提高 安全 性 ,满足 军队 、 政 府 等 部 门 的 高 安全 性 要 求 是 多 级 安全 DBMS 实 
用 化 的 关键 ,因此 若干 研究 机 构 又 在 另外 一 条 途径 上 进行 了 一 系列 的 探索 ,以 满足 军队 、 政 
府 等 部 门 的 较 高 的 安全 需求 , 即 在 现 有 已 获得 广泛 应 用 的 各 种 商业 数据 库 系 统 , 如 
ORACLE、SYBASE、INFORMIX、MS SQL SERVER 等 基础 上 ,利用 原 有 的 安全 特性 ,将 
多 级 安全 .数据 加 密 安全 审计 和 强制 访问 控制 等 设计 和 实现 技术 引入 管理 信息 系统 的 开发 
中 ,开发 出 专用 的 多 级 安全 加 密 应 用 系统 。 在 这 方面 进行 的 研究 与 应 用 主要 以 国防 科技 大 
学 的 YHOA 和 华中 理工 大 学 计算 机 系 开 发 的 ,基于 ORACLE 7 的 多 级 安全 加 密 管 理 信息 
系统 为 代表 。 

(3) 原 华 中 理工 大 学 研制 的 “基于 ORACLE 7 的 多 级 安全 加 密 管 理 信息 系统 ”针对 军 
事 部 门 的 安全 要 求 ,综合 考虑 了 系统 的 实用 性 、 安 全 性 ,实现 了 一 个 “外 包 式 ”的 多 级 安全 加 
密 管 理 信息 系 统 , 整 个 系统 主要 由 安全 控制 子 系统 、 加 密 子 系统 、 文 电 处 理子 系统 、 审 计 子 系 
统 组 成 。 

(4) 国防 科技 大 学 的 YHOA 系统 的 设计 目标 是 办 公事 务 的 可 视 化 管理 ,多 媒体 、 网 络 
环境 下 的 协同 工作 以 及 异种 数据 库 的 资源 共享 等 ,以 良好 的 图 形 界面 为 日 常 办 公事 务 提供 
了 完整 的 ,一 体 化 的 支持 ,YHOA 中 的 文档 管理 系统 是 整个 系统 的 核心 ,其 中 的 数据 库 子 系 
统 基本 满足 标示 与 认证 .自主 与 强制 访问 控制 等 安全 性 要 求 。YHOA 构造 的 数据 库 安全 子 
系统 与 各 个 应 用 系统 紧密 结合 ,按照 Bl 级 别 的 安全 要 求 设 计 , 整 个 系统 是 在 VB 3. 0 与 
ACCESS 数据 库 上 开发 的 ,在 Windows 3.2 for Workgroup 环境 下 运行 。 


7.3 数据 库 身 份 认证 技术 


7.3.1 数据 库 用户 身 份 认证 概念 


当 用 户 请 求 进入 计算 机 系统 时 ,计算 机 操作 系统 首先 进行 标识 核对 ,合法 的 用 户 才能 进 
入 计算 机 系统 ,但 是 ,进入 计算 机 系统 的 用 户 不 一 定 具有 数据 库 的 使 用 权 , 数 据 库 管理 系统 
还 要 进一步 进行 身份 认证 ,以 拒绝 没有 数据 库 使 用 权 的 用 户 对 数据 库 的 访问 。 

用 户 身 份 认证 是 数据 库 系 统 的 第 一 道 安全 防线 。 用 户 在 进入 数据 库 访 问 数据 库 资源 之 
前 ,首先 需要 经 过 身份 认证 模块 才能 与 数据 库 服 务 器 建立 连接 ,之 后 访问 授权 控制 模块 根据 
用 户 的 身份 和 权限 决定 用 户 是 否 能 够 访问 某 个 资源 ,审计 系统 记录 用 户 的 操作 请 求 和 行为 。 
访问 控制 和 审计 系统 都 要 依赖 于 身份 认证 系统 的 提供 的 “信息 ”一 一 用 户 的 身份 。 可 见 身份 
认证 在 安全 系统 中 的 地 位 极其 重要 ,是 最 基本 的 安全 服务 ,其 他 的 安全 服务 都 要 依赖 于 它 。 
一 旦 身份 认证 系统 被 攻破 ,那么 系统 的 所 有 安全 措施 将 形同虚设 。 

和 操作 系统 的 用 户 认证 类 似 , 数 据 库 用 户 认 证 是 在 数据 库 系 统 前 后 端 之 间 建 立 可 信安 
全 通信 信道 的 重要 过 程 , 它 是 数据 库 系统 的 “门禁 ?模块 ,是 数据 库 授权 和 审计 的 基础 。 数 据 
库 身 份 认证 是 验证 用 户 身 份 与 其 所 声称 的 身份 是 否 一 致 的 过 程 , 其 实质 是 用 户 标 识 的 鉴别 
过 程 , 是 数据 库 系 统 提供 的 最 外 层 安 全 保护 措施 ,本 书 第 4 章 已 经 对 身份 认证 的 过 程 .手段 
作 了 详细 介绍 ,概括 来 说 ,有 三 个 要 素 可 以 用 于 认证 过 程 , 即 用 户 的 知识 ,如 口令 等 ; 用 户 的 
物品 ,如 IC 卡 等 ; 用 户 的 特征 ,如 指纹 等 。 
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目前 ,一 般 的 数据 库 系 统 采用 比较 通用 的 用 户 名 加 口令 的 认证 方式 ,符合 规范 的 用 户 名 
和 口令 设置 及 管理 ,可 以 有 效 抵制 非法 用 户 的 入 侵 。 对 某 些 针对 特殊 应 用 环境 具有 高 度 机 
密 性 要 求 的 专用 数据 库 系统 而 言 , 仅 用 上 述 认证 方式 其 安全 强度 是 不 够 的 ,比较 通行 可 靠 的 
方式 是 基于 智能 卡 (或 USB Key) 与 用 户 标 识 双 要 素 认 证 。 认 证 时 ,用 户 在 客户 端 插入 智能 
卡 (USB Key) 并 输入 PIN 码 , 客 户 端 调用 卡 接口 并 与 用 户 注册 系统 进行 交互 ,判定 是 否 为 
合法 用 户 。 这 种 认证 方式 中 , 卡 与 用 户 标 识 码 两 者 缺 一 不 可 ,否则 ,用 户 无 法 通过 认证 。 与 
用 户 名 加 口令 方式 相 比 ,这 种 方式 提高 了 认证 的 安全 性 ,因为 用 户 名 一 般 是 公开 信息 ,而 智 
能 卡 是 用 户 独 有 的 。 

除 上 述 认证 方式 外 ,当前 ,基于 指纹 .虹膜 等 生物 特征 的 认证 技术 也 正在 逐步 得 到 推广 
和 应 用 ,但 限于 技术 成 本 .认证 精确 度 . 认 证 效率 等 方面 的 问题 ,目前 ,这 些 技术 并 未 广泛 
使 用 。 

当前 流行 的 DBMS 身份 认证 一 般 采 用 以 下 几 种 验证 方式 : 

1. 操作 系统 验证 

用 户 进 入 操作 系统 后 不 需要 用 户 名 和 口令 而 直接 连接 到 数据 库 , 在 这 种 情况 下 ,用 户 对 
数据 库 的 连接 要 靠 操 作 系 统 来 验证 ,操作 系统 的 合法 用 户 也 是 数据 库 系统 的 合法 用 户 。 对 
SQL Server 2000 来 说 ,采用 Windows 认证 更 安全 ,因为 Windows NT/2000 操作 系统 的 安 
全 性 能 达到 美国 国防 部 定义 的 C2 级 安全 标准 , 它 的 认证 具有 安全 确认 口令 加 密 、 审 核 . 口 
令 有 效 期 保护 、 最 短 口 令 长 度 限 制 , 非 法 登录 时 的 账户 锁定 等 功能 。 

2. DBMS 提供 验证 

很 多 DBMS 要 求 独立 于 操作 系统 进行 身份 认证 ,如 SQL Server、Oracle 等 都 提供 了 独 
立 认 证 的 功能 。 

3. 网 络 安全 系统 的 认证 

已 经 有 许多 网 络 安 全 认证 系统 可 以 用 来 对 数据 库 用 户 进行 认证 。 这 要 依赖 于 认证 和 密 
钥 分 配 系统 ,用 户 可 以 通过 提供 身份 证 明 或 验证 令 牌 来 响应 验证 请 求 ,包括 采用 智能 卡 、 安 
全 令 牌 .生物 识别 或 其 组 合 的 PKI 技术 。 本 质 上 ,认证 和 密 钥 分 配 系统 提供 的 是 一 个 应 用 
编程 接口 (APD , 它 可 以 用 来 为 任何 网 络 应 用 程序 提供 安全 服务 ,例如 认证 、 数 据 机 密 性 和 
完整 性 访问 控制 以 及 非 否认 服务 。 比 较 常 用 的 系统 有 DCE、Kerberos、SESAME 等 。 


7.3.2 SQL Server 数据 库 用 户 身 份 认 证 机 制 


1. SQL Server 安全 性 概述 

访问 SQL Server 数据 库 中 的 数据 必须 经 过 三 个 级 别 的 认证 过 程 ,如 图 7.2 所 示 。 

第 一 个 级 别 的 认证 是 Windows 级 别 的 认证 , 即 由 操作 系统 进行 身份 验证 ,数据 库 用 户 
必须 首先 是 操作 系统 的 合法 用 户 , 该 级 认证 的 主要 目的 是 验证 用 户 是 否 具有 连接 到 SQL 
Server 数据 库 服 务 器 的 资格 。 

第 二 个 级 别 的 认证 是 SQL Server 级 别 的 认证 ,该 认证 过 程 当 用 户 访问 数据 库 时 发 生 ， 
必须 具有 对 具体 数据 库 的 访问 权 , 即 验证 用 户 是 否 是 数据 库 的 合法 用 户 。 

第 三 个 级 别 是 数据 库 级 ,该 级 别 是 指 当 用 户 操 作 数 据 库 中 的 数据 对 象 时 ,必须 具有 相应 
的 操作 权 , 即 验证 用 户 是 否 具 有 操作 权限 。 
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BACKUP 





图 7.2 SQL Server 数据 库 三 个 级 别 的 用 户 认 证 原理 图 


这 就 好 比 确 保 保存 在 银行 保险 箱 中 财物 的 安全 需要 多 层 安全 措施 ,保险 箱 自身 有 钥匙 
和 锁具 ,保险 箱 置 于 保险 库 中 ,而 保险 库 的 位 置 处 于 普通 人 难以 到 达 的 银行 建筑 的 中 心 位 置 
或 地 下 , 仅 有 通过 授权 的 人 才能 进入 保险 库 , 通 向 保险 库 的 道路 有 限 且 有 监控 系统 ,银行 大 
厅 有 警卫 巡视 且 有 联网 报警 系统 。 通 过 不 同 层次 和 级 别 的 安全 措施 共同 保证 了 所 存 财物 的 
安全 。 同 样 SQL Server 数据 库 为 了 确保 数据 的 安全 设置 了 不 同 级 别 的 认证 ,首先 要 经 过 操 
作 系 统 的 身份 认证 ,其 次 要 求 是 数据 库 管 理 系统 的 合法 用 户 , 最 后 还 必须 是 某 个 特定 数据 库 
的 合法 用 户 ,才能 对 数据 库 中 的 元 素 、 表 、 视 图 等 进行 操作 。 

2. SQL Server 身份 认证 模式 


SQL Server 数据 库 系 统 提 供 了 两 种 身份 验证 模式 : Windows 身份 验证 模式 和 混合 
模式 。 

使 用 Windows 身份 认证 模式 时 ,用 户 使 用 Windows 操作 系统 中 的 账户 名 和 密码 连接 
SQL Server, 如 图 7. 3 所 示 。 当 用 户 通 过 Windows 用 户 账户 进行 连接 时 .SQL Server 使 用 
Windows 操作 系统 中 的 信息 验证 账户 名 和 密码 ,这 是 SQL Server 默认 的 身份 验证 模式 , 比 
混合 模式 安全 得 多 。 


a 一 史 一 车 


数据 库 用户 登 录 时 所 数据 库 运行 的 数据 库 
使 用 的 操作 系统 用 户 主机 操作 系统 








图 7.3 SQL Server 数据 库 Windows 身份 认证 概念 图 
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使 用 混合 模式 时 , 当 客 户 端 连接 到 服务 器 时 , 既 可 能 采取 Windows 身份 验证 ,也 可 能 采 
取 SQL Server 身份 验证 ,如 图 7.4 所 示 。 混 合 验证 模式 允许 以 SQL Server 身份 验证 模式 
或 者 Windows 身份 验证 模式 来 进行 验证 。 使 用 哪个 模式 取决 于 在 最 初 的 通信 时 使 用 的 网 
络 库 。 如 果 一 个 用 户 使 用 TCP/IP Sockets 进行 登录 验证 , 则 使 用 SQL Server 身份 验证 模 
式 ; 如 果 用 户 使 用 命名 管道 , 则 登录 时 将 使 用 Windows 验证 模式 。 这 种 模式 能 更 好 地 适应 


一 外 


数据 库 用 户 数据 库 














7.4 SQL Server 数据 库 混合 身份 认证 概念 图 


SQL Server 的 两 个 验证 方式 有 明显 的 不 同 , 主 要 集中 在 信任 连接 和 非 信 任 连接 上 。 

1) Windows 身份 验证 模式 

Windows 身份 验证 相对 于 混合 模式 更 加 安全 ,使 用 本 连接 模式 时 ,仅仅 根据 用 户 的 
Windows 权限 来 进行 身份 验证 , 称 之 为 “信任 连接 ”, 但 是 在 远程 连接 的 时 候 会 因 NTML 验 
证 的 缘故 ,无 法 登录 。 

Windows 认证 模式 的 优点 是 : 数据 库 管理 员 的 工作 集中 在 管理 数据 库 方面 ,而 不 是 管 
理 用 户 账户 ,对 用 户 账 户 的 管理 可 以 交 给 Windows 服务 器 去 完成 。Windows 服务 器 有 着 
更 强 的 用 户 账户 管理 工具 ,可 以 设置 账户 锁定 、 密 码 期 限 等 。 如 果 不 是 通过 定制 来 扩展 
SQL Server,SQL Server 是 不 具备 这 些 功 能 的 。Windows 服务 器 的 组 策略 支持 多 个 用 户 同 
时 被 授权 访问 SQL Server。 该 模式 是 默认 的 身份 验证 模式 , 比 混合 模式 更 为 安全 ,在 安全 
级 别 要 求 高 的 场合 请 尽 可 能 使 用 Windows 身份 验证 。 

2) 混合 身份 验证 模式 

混合 模式 验证 就 是 当 本 地 用 户 访问 SQL Server 时 采用 Windows 身份 验证 建立 信任 连 
接 , 当 远程 用 户 访问 时 由 于 未 通过 Windows 认证 ,而 进行 SQL Server 认证 (使 用 sa 的 用 户 
也 可 以 登录 SQL) ,建立 “ 非 信任 连接 ”, 从 而 使 得 远程 用 户 也 可 以 登录 。 

混合 验证 模式 的 优点 是 : 创建 了 Windows 服务 器 之 外 的 一 个 安全 层次 ; 支持 更 大 范围 
的 用 户 ,如 Novell 网 用 户 等 ; 一 个 应 用 程序 可 以 使 用 单个 的 SQL Server 登录 账号 和 口令 。 

3. SQL Server 的 身份 验证 流程 


如 图 7. 5 所 示 , 当 用 户 通 过 SQL Server 管理 工具 或 数据 库 访 问 应 用 程序 向 数据 库 发 起 
连接 请 求 时 ,SQL Server 数据 库 首 先 读 取 管理 员 所 设置 的 用 户 身 份 验证 模式 信息 。 如 果 管 
理 员 设置 的 是 Windows 身份 验证 模式 , 则 判断 当前 登录 的 Windows 用 户 是 否 是 合法 用 户 ， 
如 果 是 则 接受 用 户 发 起 的 连接 。 如 果 管 理 员 设置 的 是 使 用 混合 验证 模式 , 则 首先 判断 连接 
请 求 的 用 户 是 否 是 SQL Server 账户 ,如 果 是 则 判断 用 户 名 和 口令 是 否 正确 ,如 果 正 确 则 接 
受 连 接 ; 如 果 用 户 不 是 SQL Server 账户 . 则 判断 用 户 是 否 是 合法 的 Windows 账户 ,如 果 是 
则 接受 连接 ,和 否则 拒绝 用 户 的 SQL Server 数据 库 连接 请 求 。 


188 信息 系统 安全 








用 户 连 接 请 求 
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SQL Server 接 受 连接 








图 7.5 SQL Server 数据 库 身 份 认证 流程 图 


7.3.3 Oracle 数据 库 用 户 身 份 认证 机 制 


1. Oracle 安全 性 概述 

Oracle 中 ,一 个 用 户 如 果 要 对 某 一 数据 库 进行 操作 ,必须 满足 以 下 三 个 条 件 : 

(1) 登录 Oracle 服务 器 时 必须 通过 身份 验证 ; 

(2) 必须 是 该 数据 库 的 用 户 或 者 是 某 一 数据 库 角 色 的 成 员 ; 

(3) 必须 有 执行 该 操作 的 权限 。 

在 Oracle 系统 中 ,为 了 实现 这 种 安全 性 ,采取 了 用 户 、 角 色 和 概要 文件 等 管理 策略 。 

2. Oracle 数据 库 用 户 身 份 认 证 机 制 

Oracle 系统 有 一 套 严 格 的 用 户 管理 机 制 , 新 创建 的 用 户 只 有 通过 管理 员 授 权 才 能 获得 
系统 数据 库 的 使 用 权限 ,否则 该 用 户 只 有 连接 数据 库 的 权限 。 正 是 有 了 这 一 套 严 格 的 安全 
管理 机 制 , 才 保证 了 数据 库 系统 的 正常 运转 ,确保 数据 库 信 息 不 泄露 。 用 户 管理 包含 创建 用 
户 和 管理 用 户 两 方面 的 内 容 。 

用 户 是 使 用 数据 库 的 所 有 合法 操作 者 。Oracle 数据 库 中 有 两 个 基本 用 户 : SYSTEM 
和 SYS, 他 们 是 系统 默认 创建 并 具有 某 些 特权 的 用 户 。 创 建 用 户 是 建立 一 个 安全 .有 用 的 
账户 ,并且 这 个 账户 要 有 充分 的 权限 和 正确 的 默认 设置 值 ,保证 用 户 既 能 通过 必要 的 权限 履 
行 职责 ,但 又 不 违反 安全 策略 的 约束 。 用 户 账 户 可 在 企业 管理 器 (Oracle Enterprise 
Manager,OEM) 中 创建 ,也 可 使 用 SQL 命令 在 查询 分 析 器 中 创建 。 

对 用 户 进行 管理 ,是 对 已 创建 用 户 的 信息 进行 管理 ,包括 信息 的 添加 、 修 改 、 删 除 。 例 
如 ,为 用 户 增加 新 权限 、 改 变 概要 文件 、 创 建 用 户 报 告 和 删除 用 户 等 。 用 户 管理 和 安全 紧密 
相关 ,特别 是 用 户 授权 ,必须 符合 预 设 的 访问 控制 策略 ,通常 :授权 需 遵 循 “ 最 小 特权 原则 ”， 
即 只 给 用 户 授予 履行 职责 任务 必要 的 权限 。 

Oracle 数据 库 通过 sqlnet. ora 文件 中 的 参数 sqlnet. authentication_services、 参 数 文件 
中 的 remote_login_passwordfile 和 口令 文件 pwdsid. ora 三 者 协同 实现 不 同方 式 的 身份 
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sqlnet. authentication_services = (NTS) | (NONE) 


其 中 : NTS 表示 操作 系统 认证 方式 ,不 使 用 口令 文件 ; NONE 表示 口令 文件 认证 
方式 。 

remote_login passwordfile = (NONE) | (EXCLUSIVE) | (SHARED) 

其 中 : NONE 表示 不 使 用 口令 文件 ,操作 系统 认证 ; EXCLUSIVE 表示 使 用 口令 文件 
认证 方式 ,但 只 有 一 个 数据 库 实例 可 以 使 用 此 文件 ; SHARED 表示 使 用 口令 文件 认证 方 
式 , 允 许 有 多 个 数据 库 实例 可 以 使 用 此 文件 ,但 此 设置 下 只 有 SYS 账号 能 被 识别 ,即使 文件 
中 存在 其 他 用 户 的 信息 ,也 不 允许 他 们 以 SYSOPER/SYSDBA 登录 。 

1) 操作 系统 认证 方式 

sqlnet. authentication_services = (NTS) 并 且 Remote_login_passwordfile = (NONE) 


当 以 oracle_dba 组 下 的 用 户 登 录 进 入 本 地 的 操作 系统 后 ,进行 以 下 操作 : 


sqlplus /nolog 
SQL > conn /as sysdba 


可 以 以 sysdba 身份 登录 成 功 ,进行 数据 库 方面 的 操作 。 
当 以 远程 进行 登录 时 ,执行 : 


sqlplus /nolog 
SQL > conn /as sysdba 


则 会 显示 ERROR:ORA-01031:insufficient privileges, 即 不 允许 以 sysdba 身份 远程 登 
录 系 统 , 这 也 是 OS 认证 之 所 以 称 为 本 地 认证 方式 的 原因 。 

2) 口令 文件 认证 方式 

Sqlnet. authentication services = (NONE) 并 且 Remote login passwordfile = (SHARED) | (EXCLUSIVE) 
配合 口令 文件 PWDsid. ora。 

当 在 本 地 以 oracle_dba 组 下 的 用 户 登录 进入 系统 时 ,进行 以 下 操作 : 


sqlplus /nolog 
SQL > conn /as sysdba 


则 会 显示 ERROR :ORA-01031:insufficient privileges。 
在 本 地 或 远程 进行 如 下 操作 : 
sqlplus /nolog 


SQL 二 conn sys/ 密 码 @ 服 务 名 as sysdba 可 以 进入 系统 ,也 就 是 说 口令 文件 认证 方式 
允许 用 户 从 本 地 或 远程 以 sysdba 身份 登录 ,但 必须 提供 口令 。 

3) 操作 系统 认证 和 口令 文件 认证 同时 生效 

Sqlnet. authentication_services = (NTS) 并 且 Remote_login passwordfile = (SHARED) | (EXCLUSIVE) 


配合 口令 文件 PWDsid. ora。 
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当 在 本 地 以 oracle_dba 组 下 的 用 户 登 录 进入 操作 系统 后 ,进行 如 下 的 操作 : 


sqlplus /nolog 

SQL > conn /as sysdba 

可 以 进入 系统 , 即 操作 系统 认证 方式 登录 成 功 。 
当 在 远程 执行 : 

sqlplus /nolog 


SQL>conn sys/ 密 码 @ 服 务 名 as sysdba 也 可 以 正常 登录 到 数据 库 系统 , 即 口令 文件 
认证 方式 登录 成 功 。 


7.4 数据 库 授权 与 访问 控制 技术 


数据 或 信息 安全 的 破坏 往往 是 从 获取 访问 权限 开始 的 ,因此 ,安全 防护 的 重要 目的 之 一 
就 是 防止 对 数据 或 信息 的 非法 访问 。 访 问 控制 是 防止 数据 库 非法 访问 的 重要 措施 之 一 。 


7.4.1 数据 库 授 权 和 访问 控制 


访问 控制 是 在 用 户 身份 得 到 认证 后 ,根据 授权 数据 库 中 预先 定义 的 安全 策略 对 主体 行 
为 进行 限制 的 机 制 和 手段 。 访 问 控制 可 分 为 自主 访问 控制 (Discretionary Access Control， 
DAC) ,强制 访问 控制 (Mandatory Access Control,MAC) 和 基于 角色 的 访问 控制 (Role 
Based Access Control,RBAC) 等 。 

如 果 客 体 拥有 者 或 拥有 者 托付 对 象 的 用 户 可 以 设置 访问 控制 属性 制约 其 他 用 户 对 客体 
的 访问 ,这 样 的 访问 控制 称 为 自主 访问 控制 。 自 主 访问 控制 的 访问 授权 是 基于 主客 体 身份 
的 。 自 主 访问 控制 以 分 布 式 方式 进行 授权 ,具有 很 强 的 授权 灵活 性 ,但 容易 导致 权限 扩散 ， 
所 能 提供 的 系统 安全 保护 等 级 较 低 。 

如 果 对 客体 的 访问 完全 由 系统 决定 ,用 户 个 人 不 能 更 改 这 种 控制 , 称 这 样 的 访问 控制 为 
强制 访问 控制 。 强 制 访问 控制 中 ,系统 通过 检查 主客 体 的 相关 属性 决定 主体 是 否 可 以 访问 
客体 。 强 制 访问 控制 以 集中 方式 对 主体 进行 访问 授权 ,有 利于 对 权限 的 管控 ,能 提供 较 高 的 
安全 等 级 。 

基于 角色 的 访问 控制 是 通过 将 权限 指派 给 恰当 的 角色 ,再 将 角色 赋予 合适 的 用 户 的 方 
式 对 用 户 进行 授权 控制 。 这 样 的 访问 控制 授权 方便 ,粒度 可 调节 ,具有 很 强 的 灵活 性 ,有 利 
于 最 小 特权 原则 的 实施 ,并 能 较 好 地 契合 实际 环境 的 需求 。 

数据 库 访问 控制 的 前 提 是 对 用 户 授权 ,数据库 系 统 中 ,不同 用 户 由 于 其 职责 可 信 度 的 不 
同 ,能 获得 权限 的 情况 也 不 相同 。 在 用 户 分 等 级 设置 的 系统 中 ,高 等 级 用 户 所 能 获得 的 权限 
要 多 于 低 等 级 用 户 ; 在 用 户 分 职责 设置 的 系统 中 ,用 户 依 * 最 小 特权 原则 ?进行 授权 , 即 用 户 
只 能 获得 其 职责 范围 内 必需 的 权限 。 

1. 用 户 的 访问 权限 

用 户 对 某 一 数据 对 象 的 操作 权力 称 为 权限 。 在 DBMS 中 ,用 户 的 访问 权限 由 两 个 要 素 
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组 成 : 数据 库 对 象 和 操作 类 型 。 

(1) 数据 库 对 象 包括 数据 库 、 基 本 表 、 表 中 记录 、 属 性 值 .视图 .索引 等 。 

(2) 操作 类 型 包括 SELECT. INSERT、DELETE、 UPDATE、 REFERENCES、 ALL 
PRIVILEGES。 其 中 ,ALL PRIVILEGES 是 所 有 权限 的 简写 形式 ,REFERENCES 表示 多 
许 用 户 定义 新 关系 时 ,引用 其 他 关系 的 主键 作为 外 键 。 

一 般 DBMS 将 数据 库 用 户 分 为 如 下 4 类 。 

(1) 系统 管理 员 用 户 。 在 一 个 DBMS 上 拥有 一 切 权 限 的 用 户 , 如 同 操作 系统 中 的 超级 
用 户 , 负 责 整个 系统 的 管理 ,可 以 建立 多 个 数据 库 , 在 所 有 数据 库 上 拥有 所 有 权限 。 一 般 
DBMS 在 安装 时 至 少 有 一 个 系统 管理 员 用 户 。 例 如 ,SQL Server 默认 的 系统 管理 员 用 户 是 
sa, 负 责 该 SQL Server 上 的 所 有 系统 管理 。 

(2) 数据 库 管 理 员 用 户 (DBA)。 在 某 一 数据 库 上 拥有 一 切 权限 的 用 户 , 负 责 一 个 具体 
数据 库 的 建立 和 管理 。 在 SQL Server 中 称 作 dbo(Database Owner) ,也 称 作 数据 库 属 主 或 
数据 库 拥 有 者 。 

(3) 数据 库 对 象 用 户 。 可 以 建立 数据 库 对 象 (如 表 、 视 图 等 ) 的 用 户 , 在 自己 建立 的 数据 
库 对 象 上 拥有 全 部 操作 权限 。 在 SQL Server 中 称 为 dboo(Database Object Owner) ,也 称 
作 数 据 库 对 象 属 主 或 数据 库 对 象 拥有 者 。 

(4) 数据 库 访 问 用 户 。 一 般 的 数据 库 访问 用 户 , 可 以 对 被 授权 的 数据 库 对 象 进行 操作 
(如 查询 数据 \ 修 改 数据 等 )。 

这 4 类 用 户 的 权限 逐渐 降低 ,一 般 较 低级 别 用 户 的 权限 是 较 高 级 别 用 户 授予 的 。 如 系 
统管 理 员 用 户 授权 某 个 用 户 可 以 建立 数据 库 , 则 该 用 户 便 可 以 建立 数据 库 ,并 成 为 建立 数据 
库 的 数据 库 管理 员 用 户 。 

2. 权限 的 授予 与 收回 

目前 大 部 分 DBMS 支持 自主 访问 控制 ,我 们 主要 讨论 基于 自主 访问 控制 的 授权 控制 。 
DBMS 通过 SQL 提供 的 GRANT 和 REVOKE 语句 定义 用 户 权限 ,形成 授权 规则 ,并 将 其 
记录 在 数据 字典 中 。 当 用 户 发 出 访问 数据 库 的 操作 请 求 后 ,DBMS 授权 子 系统 查找 数据 字 
典 , 根 据 授权 规则 进行 合法 性 检查 ,以 决定 接受 还 是 拒绝 执行 此 操作 。 

1) GRANT 语句 

GRANT 语句 用 于 向 用 户 授 予 权限 ,其 一 般 格式 为 : 

GRANT < 权限 列表 > ON < 数据 库 对 象 > 

TO < 用 户 列表 > 
[WITH GRANT OPTION] ; 

选项 WITH GRANT OPTION 表示 被 授权 的 用 户 可 以 将 这 些 权限 继续 转 授 给 其 他 
用 户 。 

【 例 7-1】 现 有 表 学 生 ( 学 号 ,姓名 ,所 在 系 ,性 别 ) ,把 查询 学 生 表 和 修改 学 生 学 号 的 权 
限 授 给 用 户 U4, 并 允许 其 将 权限 转 授 出 去 。 

GRANT SELECT, UPDATE( 学 号 ) ”ON 学生 


TO U4 
WITH GRANT OPTION; 
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2) REVOKE 语句 
权限 可 以 由 DBA 或 其 他 授权 者 用 REVOKE 语句 收回 ,其 一 般 格式 为 : 
REVOKE[ GRANT OPTION ”FOR] < 权限 列表 > 
ON < 数据 库 对 象 > 
FROM < 用 户 列 表 > 
[RESTRICT | CASCADE] ; 
选项 GRANT OPTION FOR 表示 是 部 分 授权 权限 被 收回 ; CASCADE 表示 把 该 用 户 
所 转 授 出 去 的 权限 同时 收回 ; RESTRICT 表示 限制 级 联 收回 , 即 只 有 当 用 户 没 有 给 其 他 用 
户 授权 时 ,才能 收回 权限 ,否则 ,系统 拒绝 执行 授权 动作 。 
【 例 7-2】 收回 用 户 U4 修改 学 生 学 号 的 权限 ,并 级 联 收回 所 授 出 的 权限 。 
REVOKE ”UPDATE( 学 号 ) 
ON 学 生 


FROM U4 
CASCADE; 


7.4.2 SQL Server 数据 库 权 限 和 角色 机 制 


数据 库 系统 中 不 能 缺少 用 户 身 份 认 证 机 制 , 但 仅 提供 这 样 的 机 制 是 远 远 不 够 的 ,还 必须 
有 相配 套 的 用 户 权限 管理 机 制 。 只 有 给 用 户 分 配 了 合适 的 权限 ,才能 保证 登录 系统 的 合法 
用 户 在 各 自 职责 范围 内 进行 操作 。 

SQL Server 数据 库 中 ,权限 可 以 分 为 两 个 方面 : 一 个 是 对 数据 库 服务 器 自身 的 控制 权 
限 ,如 创建 修改、 删除 数据 库 , 管 理 磁盘 文件 ,添加 删除 连接 服务 器 等 ; 另 一 个 是 对 数据 库 
数据 方面 的 控制 权限 ,如 可 以 访问 数据 库 中 的 哪些 数据 表 视图、 存储 过 程 等 ,或 是 对 数据 表 
执行 哪些 操作 ,是 INSERT, 还 是 UPDATE, 或 是 SELECT 等 。 

SQL Server 数据 库 管理 系统 可 以 利用 角色 设置 ,管理 用 户 的 权限 。 这 样 只 对 角色 进行 
权限 设置 便 可 以 实现 对 该 角色 中 所 有 用 户 权 限 的 设置 ,大 大 减轻 了 管理 员 的 工作 量 。 

SQL Server 数据 库 具有 固定 服务 器 角色 、 固 定 固定 服务 器 角色 
数据 库 角色 、 用 户 自 定义 数据 库 角色 三 种 不 同类 型 的 “角色 和 
角色 ,如 图 7. 6 所 示 。 数据 库 角色 { 

服务 器 角色 独立 于 各 个 具体 的 数据 库 ,主要 用 来 
进行 服务 器 的 管理 。 根 据 SQL Server 管理 任务 ,把 
具有 管理 职能 的 用 户 划分 为 不 同 的 用 户 组 ,每 一 组 定义 为 一 种 固定 服务 器 角色 ,如 图 7.7 
所 示 。 


用 户 定义 的 数据 库 角色 
图 7.6 SQL Server 数据 库 角色 图 





固定 服务 器 角色 数据 库 
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7.7 SQL Server 数据 库 固 定 服务 器 角色 原理 图 


数据 库 用 户 
登录 时 所 使 不 
用 的 操作 系 
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SQL Server 数据 库 中 常用 的 固定 服务 器 角色 如 表 7. 1 所 示 。 
表 7.1 SQL Server 固定 服务 器 角色 列表 





角 色 描 述 
sysadmin 可 执行 任何 操作 
dbcreator 创建 和 修改 数据 库 
diskadmin 管理 磁盘 文件 
serveradmin 配置 服务 器 级 的 设置 
securityadmin 管理 和 审核 服务 器 登录 
processadmin 管理 SQL Server 进程 
bulkadmin 执行 BULK INSERT 语句 
setupadmin 配置 和 复制 已 链接 的 服务 器 


固定 数据 库 角 色 是 将 常用 的 数据 库 操作 权限 集合 划分 为 不 同 的 组 ,每 一 组 称 为 一 个 固 
定数 据 库 角色 。SQL Server 数据 库 中 常用 的 固定 数据 库 角 色 如 表 7. 2 所 示 。 


表 7.2 SQL Server 固定 数据 库 角 色 列 表 





角 色 描 述 
db_owner 数据 库 所 有 者 
db_accessadmin 数据 库 访 问 权 限 管 理 者 
db_securityadmin 数据 库 安全 管理 员 
db_ddladmin 数据 库 DDL 管理 员 
db_backupoperator 数据 库 备 份 操作 员 
db_datareader 数据 库 数据 读 取 者 
db_datawriter 数据 库 数据 写 和 者 
public 每 个 数据 库 用 户 都 是 public 角色 的 成 员 


用 户 可 以 在 数据 库 级 别 上 ,也 可 以 对 特定 数据 库 对 象 定 义 角 色 , 称 为 用 户 自 定义 角色 。 
7.4.3 Oracle 数据 库 权 限 和 角色 机 制 


Oracle 数据 库 角色 分 两 种 ,一 种 是 服务 器 角色 , 另 一 种 是 数据 库 角 色 。 

服务 器 角色 是 系统 预定 义 的 ,用 户 不 能 创建 新 的 服务 器 角色 ,也 不 能 改变 服务 器 角色 的 
权限 ,只 能 选择 合适 的 已 固定 的 服务 器 角色 。 和 角色 管理 包括 修改 角色 的 权限 、 生 成 角色 报告 
和 删除 角色 等 工作 。 

由 于 使 用 角色 管理 权限 比较 简单 ,所 以 一 般 先 将 权限 授予 角色 ,然后 分 配给 各 个 用 户 。 
Oracle 支持 系统 权限 和 方案 对 象 权限 。 

1. 系统 权限 

系统 权限 是 执行 特定 操作 (例如 创建 数据 库 、 从 表 中 删除 行 数据 等 ) 的 权限 。Oracle 中 
有 60 种 不 同 的 系统 权限 。 系 统 权限 可 以 被 授予 用 户 和 角色 ,如 果 将 系统 权限 授予 某 个 角 
色 , 就 可 以 使 用 该 角色 管理 系统 权限 。 有 两 种 方式 可 以 授予 或 回收 系统 权限 ,一 是 使 用 
OEM ,二 是 使 用 SQL 语句 GRANT 和 REVOKE。 

2. 方案 对 象 权 限 


对 象 权限 是 对 特定 对 象 执行 特定 操作 的 权利 ,这 些 对 象 主要 包括 表 、 视 图 .序列 过程、 
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函数 和 包 等 。 有 些 对 象 (如 簇 、. 索 引 、 触 发 器 和 数据 库 链接 ) 没 有 对 应 的 对 象 权限 ,它们 是 通 
过 系统 权限 控制 的 。 例 如 ,修改 艇 用 户 必 须 拥 有 ALTER ANY CLUSER 系统 权限 。 
Oracle 对 象 有 以 下 9 种 权限 。 

(1) SELECT: 读 取 表 、 视 图 .序列 中 的 行 。 

(2) UPDATE: 更 新 表 、 视 图 和 序列 中 的 行 。 

(3) DELETE: 删除 表 、 视 图 中 的 数据 。 

(4) INSERT: 向 表 和 视图 中 插入 数据 。 

(5) EXECUTE: 执行 类 型 .函数 、 包 和 过 程 。 

(6) READ: 读 取 数据 字典 中 的 数据 。 

(7) INDEX: 生成 索引 。 

(8) REFERENCES: 生成 外 键 。 

(9) ALTER: 修改 表 序列、 同义词 中 的 结构 。 


7.5 数据 库 安 全 审计 技术 


随 着 数据 库 应 用 规模 越 来 越 大 ,系统 中 的 用 户 越 来 越 多 ,需要 提供 各 类 安全 机 制 以 有 效 
控制 每 个 用 户 权限 、 防 止 用 户 非 法 操作 数据 。 但 是 ,任何 数据 库 系 统 的 安全 保护 措施 都 不 是 
完美 无 缺 的 ,车 意 盗窃 .破坏 数据 库 的 人 总 是 想方设法 打破 控制 。 所 以 ,只 有 安全 防护 是 不 
够 的 ,还 需要 能 够 时 刻 了 解数 据 库 的 使 用 状况 ,并 在 出 现 问题 时 能 及 时 地 发 现 问题 所 在 ,以 
便 解决 问题 ,避免 和 挽回 不 必要 的 损失 ,这 就 需要 数据 库 系 统 有 一 个 完备 的 审计 系统 。 


7.5.1 数据 库 安全 审计 定义 、 地 位 和 作用 


审计 作为 一 种 安全 保障 机 制 , 在 最 早 的 TCSEC 中 就 已 有 了 明确 的 要 求 ,从 C2 级 开始 ， 
TCSEC 就 制定 了 详细 的 审计 功能 要 求 , 并 要 求 信息 系统 对 审计 数据 进行 查询 、 监 视 , 以 发 现 
对 系统 发 起 的 攻击 和 系统 的 安全 漏洞 。 审 计 是 数据 库 安全 的 有 机 组 成 部 分 。 

审计 就 是 收集 .记录 与 系统 安全 有 关 的 活动 ,并 对 其 进行 分 析 处 理 .评估 审查 ,查找 系统 
的 安全 隐患 ,对 系统 安全 进行 审核 .稽查 和 计算 ,追查 造成 安全 事故 的 原因 ,并 做 出 进一步 的 
处 理 。 数 据 库 审计 功能 将 用 户 对 数据 库 的 每 一 次 更 新 操作 (包括 事务 开始 .事务 结束 以 及 对 
数据 库 的 插入 、 删 除 修改 等 ) 自 动 记录 下 来 ,便于 调查 ,追踪 责任 人 。 审 计 记 录 一 般 包 括 以 
下 内 容 : 终端 标识 符 , 用 户 识别 符 , 处 理 类 型 ,数据 更 新 前 、 后 的 值 等 。 审 计 记录 被 存放 在 日 
志文 件 中 ,DBA(Database Administrator, 数 据 库 管理 员 ) 可 以 利用 日 志 中 的 审计 记录 信息 ， 
重 现 导 致 数据 库 状 况 的 一 系列 事件 , 找 出 非法 访问 数据 的 人 、 时 间 和 内 容 等 。 审 计 是 很 费时 
间 和 空间 的 ,所 以 审计 功能 一 般 用 于 安全 性 较 高 的 系统 中 。 


7.5.2 数据 库 安全 审计 方法 


1. 数据 库 审计 系统 模型 


一 个 数据 库 审计 系统 的 模型 包括 两 个 部 分 : 审计 数据 采集 器 ,用 于 采集 审计 数据 ; 审 
计数 据 分 析 器 ,负责 对 审计 数据 采集 器 发 送 给 它 的 数据 进行 分 析 。 如 图 7. 8 所 示 为 安全 审 


第 7 章 数据 库 系统 安全 195 





计 系 统 模型 的 框图 ,其 中 审计 数据 字典 描述 了 系统 需要 审计 的 事件 ,是 审计 策略 的 体现 , 采 
集 器 根据 审计 数据 字典 采集 数据 ,并 存储 为 日 志 。 


用 户 动作 


采集 器 
































手工 分 析 分 析 器 


~ 执行 响应 pa 


图 7.8 数据 库 安全 审计 系统 模型 框图 


数据 库 安全 审计 系统 首先 收集 来 自用 户 的 事件 ,例如 数据 库 查询 、 插 入、 删除 、 修 改 操作 
等 ,根据 相应 的 审计 条 件 (审计 数据 字典 ) ,判断 是 否 是 审计 事件 。 对 审计 事件 的 内 容 按 日 志 
的 模式 记录 到 审计 日 志 中 。 当 审计 事件 满足 报警 条 件 时 ,分 析 器 则 向 管理 人 员 发 送 报警 信 
息 并 记录 其 内 容 。 当 事件 在 一 定时 间 内 连续 发 生 、 满 足 逐 出 系统 条 件 时 , 则 将 引起 该 事件 的 
用 户 逐 出 系统 并 记录 其 内 容 。 数 据 库 管理 员 也 可 以 通过 手工 分 析 的 形式 查询 ,检查 审计 日 
志 以 形成 审计 报告 。 检 查 的 内 容 包括 审 计 事 件 类 型 .事件 安全 级 .引用 事件 的 用 户 、 报 警 、 指 
定时 间 内 的 事件 以 及 恶意 用 户 表 等 ,上 述 内 容 可 结合 使 用 。 当 发 现 新 的 具有 潜在 危害 性 ,而 
审计 数据 字典 未 记录 的 操作 ,管理 员 可 以 向 数据 字典 中 更 新 该 类 型 操作 。 

2. 审计 范围 与 日 志 格 式 

在 模型 中 ,审计 日 志 起 着 非常 关键 的 作用 , 它 记 录 了 各 种 类 型 的 事件 ,为 数据 库 管理 人 
员 提 供 了 事后 审计 的 依据 ,掌握 用 户 ( 攻 击 者 ) 的 企图 ,日 志 也 可 以 作为 日 后 用 作 反 抵赖 的 具 
有 说 服 力 的 证 据 。 

审计 日 志 一 般 应 该 包括 发 生 的 时 间 ( 包 括 日 期 及 时 、 分 、 秒 ) .主机 名 、 进 程 ID 号 、 用 户 
名 、 事 件 名 称 、 出 错 代 号 、 附 加 信息 等 。 不 同 的 应 用 系统 审计 日 志 的 格式 不 同 。 广 泛 认 同 的 
标准 格式 将 有 利于 克服 非 兼容 性 和 互 操作 性 ,而 非 兼 容 性 和 互 操作 性 是 审计 数据 分 析 系 统 
的 开发 者 所 面临 的 主要 问题 。 采 用 标准 的 格式 也 有 利于 来 自 不 同 审计 系统 的 审计 数据 的 交 
换 , 并 促进 网 络 环境 下 对 数据 的 协同 分 析 。 关 于 审计 追踪 日 志 的 格式 ,有 以 下 两 种 标准 : 

(1) Bishop 的 标准 审计 日 志 格式 。 在 此 标准 格式 中 ,每 个 日 志 记录 包含 一 些 域 , 域 之 间 
由 域 分 隔 符 “# ”分开 , 由 启动 和 终止 符号 *S”" 和 “E” 来 定 界 。 域 的 数目 是 不 固定 的 ,以 满足 
扩展 性 的 需要 。 全 部 的 数值 都 是 ASICII 代码 串 , 这 就 避免 了 字 节 排序 和 浮 点 格式 的 问题 。 
下 面 是 一 个 使 用 Bishop 标准 审计 日 志 格式 存储 的 数据 库 审 计 日 志 的 例子 。 

【 例 7-3】〗 某 数据 库 安 全 审计 系统 使 用 Bishop 格式 存储 审计 日 志 , 它 的 一 条 日 志 为 : 


S20140706 18:12:13#210.15.1.145 井 teachsystem 井 system 井 SELECT 井 teachsystem. score# 
1#permission deniedE 
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上 述 日 志 的 含义 是 : 2014 年 7 月 6 日 18 时 12 分 13 秒 ,system 用 户 在 210.15.1. 145 
主机 上 通过 teachsystem 进程 对 teachsystem. score 表 进 行 了 SELECT 操作 ,结果 是 失败 的 
(0 表示 成 果 ,1 表示 失败 ) ,失败 原因 是 “授权 不 允许 ”(Permission Denied) 。 

(2) 归 一 化 的 审计 数据 格式 。 归 一 化 的 审计 数据 格式 NADF (Normalized Audit Data 
Format) 是 由 ASAX(Advanced Security Audit-trail Analysis on UNIX) 误 用 检测 系统 的 开 
发 者 所 定义 的 , 旨 在 提供 一 定 程 度 的 操作 系统 独立 性 。NADF 审计 追踪 是 有 序 的 NADF 记 
录 文 件 , 任 何 审计 追踪 都 能 转化 成 NADF 格式 。 在 转换 时 ,对 本 地 审计 追踪 的 审计 记录 被 
抽象 成 为 一 系列 审计 数据 值 。 每 个 审计 数据 值 存放 在 一 个 独立 的 NADF 记录 中 。 一 个 
NADF 文件 是 有 NADF 格式 的 记录 序列 组 成 的 文件 。 每 条 记录 包括 下 列 域 : 

一 个 4 字 节 的 证 书 ,表示 整个 NADF 记录 的 长 度 (包括 长 度 域 本 身 ); 一 系列 连续 的 审 
计数 据 域 ,每 个 审计 数据 域 包括 如 下 三 个 相 邻 的 项 。 

@ 标识 符 : 一 个 unsigned short(16 位 ) 类 型 的 整数 用 于 标识 审计 数据 ; 

Q@ 长 度 : 一 个 unsigned short 整数 ,标识 审计 数据 值 的 长 度 ; 

@ 值 : 用 于 记录 审计 数据 的 内 容 本 身 。 

图 7.9 显示 了 一 个 一 般 的 NADF 记录 的 布局 。 
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图 7.9 NADF 记录 格式 图 


3. 安全 审计 日 志 的 分 析 方 法 

审计 日 志 需 要 进行 分 析 以 确定 脆弱 性 ,建立 可 计算 性 ,评估 损失 和 恢复 系统 运行 。 审 计 
日 志 分 析 方法 有 人 工分 析 和 采用 分 析 工 具 进 行 分 析 两 种 。 巾 于 日 志 中 一 般 包含 的 数据 量 比 
较 大 ,为 了 提高 分 析 效 率 , 可 借助 于 审计 分 析 工 具 , 在 开发 有 效 的 审计 分 析 工 具 时 ,所 遇 到 的 
主要 障碍 是 需要 处 理 日 志 机 制 生成 的 大 量 数 据 ,这 些 工具 将 审计 数据 作为 输入 ,而 把 审计 分 
析 后 所 生成 的 结果 作为 输出 。 

审计 分 析 工 具 主 要 基于 两 种 分 析 方法 : 统计 分 析 和 基于 规则 的 专家 系统 。 

统计 分 析 方 法 定期 收集 与 合法 用 户 行为 有 关 的 数据 ,而 后 对 观察 的 行为 进行 统计 检验 ， 
以 高 可 信和 度 决定 是 否 与 合法 用 户 行为 相符 。 统 计 分 析 又 称 为 异常 检测 或 基于 行为 的 检测 ， 
这 种 模型 的 特点 是 首先 总 结 正常 操作 应 该 具有 的 特征 ,例如 特定 用 户 的 数据 库 操作 习惯 与 
某 些 数据 库 操作 的 频率 等 ; 在 得 出 正常 操作 的 模型 之 后 ,同时 检测 从 审计 日 志 报告 上 来 的 
当前 活动 ,将 它们 与 正常 的 活动 比较 。 异 常 检 测试 图 用 定量 方式 描述 可 接受 的 行为 特征 ,来 
区 分 非 正 常 的 、 潜 在 的 入 侵 行为 。 一 旦 发 现 正在 进行 监视 的 目标 数据 库 事 务 偏离 统计 学 意 
义 上 的 正常 操作 模式 , 即 进行 报警 。 由 于 这 种 方法 的 数据 来 源 是 正常 操作 的 审计 记录 ,而 历 
史记 录 经 常 不 能 包括 所 有 的 用 户 正常 模型 ,因此 误 报 警 率 比较 高 。 

基于 规则 的 专家 系统 采用 了 不 同 的 方法 ,这 些 系统 与 “异常 检测 ”的 区 别 是 : 通过 采用 
预先 设 定 的 规则 来 进行 “滥用 检测 ”, 而 这 些 规则 都 是 由 数据 库 管理 员 预 先 设计 好 的 。 这 种 
模型 的 特点 是 收集 非 正常 操作 也 就 是 入 侵 行为 的 特征 。 检 测 时 判别 所 收集 到 的 数据 特征 是 
否 在 人 侵 模式 库 中 存在 。 此 方法 类 似 于 杀毒 软件 ,对 事先 定义 的 入 侵 特征 能 够 准确 检测 ,所 
以 较 少 有 误 报 警 。 但 是 ,由 于 这 种 检测 是 基于 非法 操作 模型 ,如 果 出 现 了 非法 操作 集中 没有 
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包括 的 攻击 , 误 用 检测 就 无 能 为 力 了 ,就 会 造成 漏 报警 。 
7.5.3 Oracle 数据 库 安全 审计 技术 


Oracle 审计 机 制 为 我 们 提供 了 监视 和 记录 数据 库 活动 的 功能 ,通常 用 于 监视 重要 的 数 
据 库 活动 和 收集 特定 的 数据 库 活动 信息 。 利 用 该 特性 ,我 们 可 以 实现 对 数据 库 系 统 的 操作 
行为 进行 记录 以 及 对 特定 重要 业务 数据 表 的 控制 ,甚至 可 以 实现 应 用 系统 的 操作 与 数据 库 
动作 的 关联 。 

1. Oracle 数据 库 安全 审计 定义 

Oracle 数据 库 提 供 的 审计 功能 分 为 用 户 级 审计 和 系统 级 审计 。 用 户 级 审计 是 任何 
Oracle 用 户 可 设置 的 审计 ,主要 是 用 户 针 对 自己 创建 的 数据 库 表 或 视图 进行 审计 ,记录 所 
有 用 户 对 这 些 表 或 视图 的 一 切 成 功 和 (或 ) 不 成 功 的 访问 要 求 以 及 各 类 型 的 SQL 操作 。 系 
统 级 审计 只 能 由 DBA 设置 ,用 以 监测 成 功 或 失败 的 登录 要 求 ,监测 GRANT 和 REVOKE 
操作 以 及 其 他 数据 库 级 权限 下 的 操作 。Oracle 的 审计 功能 很 灵活 ,是 否 使 用 审计 、 对 哪些 
表 进 行 审计 、 对 哪些 操作 进行 审计 等 都 可 以 根据 用 户 的 需要 进行 选择 。 

Oracle 数据 库 自身 的 安全 审计 机 制 ,能 够 对 发 生 在 数据 库 里 的 所 有 操作 进行 审计 , 产 
生 的 审计 记录 既 可 以 写 到 操作 系统 的 审计 跟踪 文件 里 ,也 可 以 写 到 SYS. AUD 和 $ 表 里 ,审计 
记录 包括 被 审计 的 操作 ,执行 操作 的 用 户 ,操作 的 时 间 、 操 作 的 类 型 等 。 

2. Oracle 数据 库 安全 审计 功能 开启 

审计 数据 的 产生 必须 要 数据 库 开启 了 审计 功能 。Oracle 数据 库 的 安全 审计 功能 在 默 
认 情 况 下 是 处 于 关闭 状态 的 ,因为 审计 功能 的 开启 将 会 从 空间 和 性 能 两 个 方面 对 系统 产生 
影响 。 因 此 ,要 想 获得 Oracle 数据 库 的 审计 记录 ,我 们 要 做 的 第 一 步 工 作 是 开启 数据 库 审 
计 功 能 。 在 Oracle 数据 库 中 ,要 想 激 活 某 个 数据 库 上 的 审计 功能 ,这 个 数据 库 的 初始 化 参 
数 文 件 里 面 就 必须 包含 audit_trail 参数 。audit_trail 的 作用 是 启用 或 禁止 数据 库 审计 , 取 
值 范围 为 NONE、FALSE、DB、TRUE 或 OS。 其 中 ,NONE 和 FALSE 表示 关闭 Oracle 审 
计 功 能 ; DB 和 TRUE 表示 开启 审计 功能 ,并 且 审 计 日 志 记录 在 SYS. AUD$ 表 中 ; OS 表 
示 开 启 审 计 功能 ,并 且 审 计 日 志 记录 在 操作 系统 的 文件 系统 中 。 

3. Oracle 数据 库 安 全 审计 策略 配置 和 审计 日 志 查看 

Oracle 数据 库 的 审计 机 制 可 以 实现 对 三 种 不 同 的 操作 类 型 进行 审计 : 登录 企图 、 对 象 
访问 和 数据 库 操 作 。 下 面 将 分 别 介绍 三 种 操作 类 型 的 具体 内 容 。 

(1) 登录 审计 : 用 户 连接 数据 库 的 操作 过 程 称 为 登录 ,攻击 者 常常 会 采用 猜测 口令 的 
方式 来 尝试 登录 到 各 种 账户 上 去 ,Oracle 的 登录 审计 将 对 每 个 连接 数据 库 的 企图 进行 审 
计 , 记 录 下 成 功 、 不 成 功 ,或 者 全 部 的 登录 企图 。 

与 登录 审计 相关 的 命令 包括 : 

@ AUDIT SESSION; 

©®@ AUDIT SESSION WHENEVER SUCCESSFUL:; 

@ AUDIT SESSION WHENEVER NOT SUCCESSFUL; 

@ NOAUDIT SESSION。 

第 1 条 命令 开启 连接 数据 库 审计 .第 2 条 是 只 审计 成 功 的 连接 ,第 3 条 是 只 审计 失败 的 
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连接 ,第 4 条 命令 禁止 登录 审计 。 

数据 库 的 审计 记录 存放 在 SYS 方案 中 的 AUDS$ 表 中 ,但 是 直接 查看 该 表 获 取 数 据 库 
审计 记录 太 过 复杂 ,Oracle 为 了 方便 管理 员 查 看 各 种 类 型 的 审计 日 志 记录 ,定义 了 很 多 “ 简 
化 ”的 视图 ,可 以 通过 这 些 视图 方便 地 查看 Oracle 的 审计 日 志 。 登 录 审 计 日 志 可 以 通过 
DBA_AUDIT_SESSION 视图 来 查看 。 

【 例 7-4】 查看 Oracle 用 户 登 录 审 计 日 志 的 SQL 语句 。 

SELECT OS_Username, Username, Terminal, DECODE( Returncode, '0', 'Connected', 

'1005', 'FailedNull', '1017', 'Failed', Returncode), TO_CHAR(Timestamp, 'DD-MON-YY HH24:MI:SS'), TO_ 

CHAR( Logoff_time, 'DD-MON-YY HH24:MI:SS') 

FROM DBA_AUDIT_SESSION; 

(2) 操作 行为 审计 : Oracle 可 以 对 影响 到 某 个 数据 库 对 象 ( 例 如 表 、 表 空间 、 同 义 词 . 数 
据 库 链 接 、 回 退 段 .用 户 或 索引 ) 的 一 切 操作 进行 审计 。 操 作 行 为 审计 的 语法 格式 为 : 

AUDIT {statement_opt|system priv} 

[BY user, *…n] 

[BY {SESSION| ACCESS}] [WHENEVER [NOT] SUCCESSFUL] 

OO statement_opt: 审计 操作 。 对 于 每 个 审计 操作 ,产生 的 审计 记录 含有 下 述 信息 : 执 
行 操 作 的 用 户 .操作 类 型 .操作 涉及 到 的 对 象 及 操作 的 日 期 和 时 间 。 审 计 记录 被 写 人 审计 跟 
踪 (Audit Trail) ,审计 跟踪 包含 审计 记录 的 数据 库 表 。 可 以 通过 数据 字典 视图 检查 审计 跟 
踪 来 了 解数 据 库 的 活动 。 

@ system_priv: 指定 审计 的 系统 权限 。Oracle 可 对 指定 的 系统 权限 和 语句 选项 组 进 
行 审计 。 

@ BY user,…n: 指定 审计 的 用 户 。 若 忽略 该 子 句 ,Oracle 审计 所 有 用 户 的 语句 。n 表 
示 可 同时 指定 多 个 用 户 。 

@ BY SESSION: 同一 会 话 中 同一 类 型 的 全 部 SQL 语句 仅 写 单条 记录 。 

@ BY ACCESS: 每 个 被 审计 的 语句 写 一 条 记录 。 

(3) 对 象 审计 : Oracle 不 仅 能 对 数据 库 对 象 上 的 系统 级 操作 行为 进行 审计 ,还 可 以 对 
数据 库 对 象 上 的 数据 操作 行为 进行 审计 。 对 象 审计 用 于 对 特定 数据 库 对 象 的 操作 进行 审计 
记录 。 对 象 审计 的 语法 格式 如 下 : 

AUDIT {object_opt|ALL} ON 

{[schema. ]object|DIRECTORY directory_name|DEFAULT} 

[BY SESSION| ACCESS] 

[WHENEVER [ NOT] SUCCESSFUL] 

GD object_opt: 指定 审计 操作 。 

@ ALL: 指定 所 有 对 象 类 型 的 对 象 选 项 。 

@@ schema: 包含 审计 对 象 的 方案 。 若 忽略 schema , 则 对 象 在 自己 的 模式 中 。 

@ object: 标识 审计 对 象 。 对 象 必须 是 表 、 视 图 .序列 .存储 过 程 、 函 数 . 包 、 快 照 或 库 ， 
也 可 以 是 它们 的 同义词 。 
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加 ON DEFAULT: 缺 省 审计 选项 ,以 后 创建 的 任何 对 象 都 自动 用 这 些 选项 审计 。 用 
于 视图 的 缺 省 审计 选项 总 是 视图 基 表 的 审计 选项 的 联合 。 
@ ON DIRECTORY directory_name: 审计 的 目录 名 。 
@@ WHENEVER SUCCESSFUL: 只 审计 完全 成 功 的 SQL 语句 。 
(4) 权限 审计 。 权 限 审 计 表示 只 审计 某 一 个 系统 权限 的 使 用 状况 。 既 可 以 审计 某 个 用 
户 所 使 用 的 系统 权限 ,也 可 以 审计 所 有 用 户 使 用 的 系统 权限 。 
【 例 7-5】 分 别 对 nick 和 admin 用 户 进行 系统 权限 级 别 的 审计 。 
SQL > audit delete any table whenever not successful; 
SQL > audit create table whenever not successful; 
SQL > audit alter any table,alter any procedure by nick by access Whenever not successful; 
SQL > audit create user by admin whenever not successful; 
通过 查询 数据 字典 DBA_PRIV_AUDIT_OPTS( 必 须 以 sys 用 户 连 接 数 据 库 进 行 查 
,可 以 了 解 对 哪些 用 户 进 行 了 权限 审计 及 审计 的 选项 。 
SQL > SELECT USER_NAME, PRIVILEGE, SUCCESS, FRILURE 2 


FROM DBA_PRIV_AUDIT_OPTS 
ORDER BY USER_NAME; 


7.6 数据 库 备份 与 恢复 技术 


尽管 数据 库 系统 采取 各 种 保护 措施 来 防止 数据 库 的 安全 性 和 完整 性 被 破坏 ,但 是 计算 
机 系统 受到 水 灾 、 火 灾 等 自然 灾害 ,硬件 的 故障 ,软件 的 错误 ,操作 员 的 失误 以 及 恶意 的 破坏 
仍 是 不 可 避免 的 ,这 些 故 障 轻 则 造成 运行 事务 非 正常 中 断 ,影响 数据 库 数据 的 正确 性 , 重 则 
破坏 数据 库 , 使 数据 库 中 的 全 部 或 部 分 数据 丢失 ,从 而 使 数据 库 处 于 错误 状态 。 数 据 库 系统 
需要 建立 一 整套 备份 与 恢复 机 制 ,及 时 恢复 系统 中 的 重要 数据 , 尽 可 能 地 避免 数据 损失 ,使 
数据 库 正常 运行 。 

备份 和 恢复 是 两 个 互相 联系 的 概念 ,备份 是 将 数据 信息 保存 起 来 ; 而 恢复 则 是 当 意外 
事件 发 生 或 者 有 某 种 需求 时 ,将 已 备份 的 数据 信息 还 原 到 数据 库 系 统 中 。 


7.6.1 数据 库 备份 技术 


在 数据 库 系统 中 ,为 了 保证 在 多 用 户 共享 数据 库 以 及 系统 发 生 故 障 后 仍 能 保证 数据 库 
中 数据 的 正确 性 ,引入 了 事务 的 概念 ,事务 是 一 组 需要 一 起 执行 的 操作 序列 ,是 数据 库 系统 
的 逻辑 工作 单元 ,事务 具有 原子 性 、 持 久 性 一致 性 隔离 性 四 大 特性 。 

(1) 原子 性 (Atomicity) : 事务 中 包括 的 诸 操 作 要 么 都 做 ,要 么 都 不 做 。 

(2) 一 致 性 (Consistency) : 事务 执行 的 结果 必须 是 使 数据 库 从 一 个 一 致 性 状态 变 到 另 
一 个 一 致 性 状态 。 

(3) 隔离 性 (Isolation) : 一 个 事务 的 执行 不 能 被 其 他 事务 干扰 。 

(4) 持久 性 (Durability) : 一 个 事务 一 旦 提交 , 它 对 数据 库 中 数据 的 改变 就 应 该 是 永久 
性 的 。 
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备份 是 应 对 故障 的 有 效 手 段 ,首先 讨论 一 下 数据 库 故障 的 类 型 。 

1. 故障 的 类 型 

数据 库 可 能 发 生 的 故障 有 以 下 几 类 。 

1) 事务 内 部 的 故障 

如 事务 执行 过 程 中 发 生 运算 溢出 (试图 用 0 作 除数 ) 、 并 发 事务 发 生死 锁 而 被 选中 撤销 、 
违反 了 某 些 完整 性 限制 等 。 此 时 ,系统 会 强迫 发 生 故 障 的 事务 终止 运行 。 天 折 事 务 的 部 分 
执行 结果 可 能 已 经 更 新 到 数据 库 中 ,破坏 事务 的 原子 性 。 

2) 系统 故障 

系统 故障 是 指 造成 系统 停止 运转 的 任何 事件 ,如 特定 类 型 的 硬件 错误 (CPU 故障 )、 操 
作 系统 故障 .DBMS 代码 错误 .突然 停电 等 ,发 生 系统 故障 后 ,系统 要 重新 启动 ,由 于 内 存 是 
“ 易 失 性 的 ”, 会 造成 主 存 内 容 , 尤 其 是 数据 库 缓 冲 区 中 的 内 容 丢 失 , 所 有 故障 发 生 时 正在 运 
行 的 事务 非 正 常 终止 ,但 不 会 影响 磁盘 上 的 数据 库 。 

发 生 系统 故障 后 ,一些 天 折 的 事务 的 部 分 执行 结果 可 能 已 写 人 磁盘 上 的 数据 库 ; 有 些 
已 经 提交 的 事务 对 数据 库 的 更 新 结果 可 能 还 在 缓冲 区 中 ,未 来 得 及 写 回 磁盘 物理 数据 库 中 ， 
因此 系统 故障 破坏 了 数据 库 的 原子 性 和 持久 性 。 

3) 介质 故障 

介质 故障 又 称 为 硬 故 障 (Hard Crash) ,通常 指 外 存 故障 ,如 磁盘 损坏 、 磁 头 碰撞 、 瞬 时 强 
磁场 干扰 以 及 由 于 地 震 、 爆 炸 等 灾难 性 事件 发 生 而 引发 存储 介质 完全 毁坏 等 ,这 类 故障 将 破 
坏 数 据 库 ,并 影响 正在 存 取 这 部 分 数据 的 所 有 事务 。 

发 生 介质 故障 后 ,会 破坏 磁盘 上 的 物理 数据 库 , 导 致 已 提交 事务 对 数据 库 的 更 新 结 
果 丢 失 ,并 影响 正在 存 取 这 部 分 数据 的 所 有 事务 。 因 此 介质 故障 会 破坏 事务 的 原子 性 和 持 
久 性 。 

为 了 实现 故障 恢复 ,采用 的 技术 是 备份 ,不 仅 要 备份 数据 库 , 而 且 还 要 对 事务 的 更 新 操 
作 进 行 备份 以 助 恢复 事务 故障 和 系统 故障 。 

2. 备份 技术 

除 ' 月 专 

DBMS 维护 了 一 个 日 志 (Log) 文 件 来 记录 事务 对 数据 库 的 更 新 操作 ,以 助 事务 的 恢复 。 
日 志文 件 的 内 容 包 括 事 务 的 开始 标记 (BEGIN TANSACTION)、 事 务 的 结束 标记 
(COMMIT 或 ROLLBACK)、 事 务 的 所 有 更 新 操作 。 对 于 更 新 操作 的 日 志 记 录 , 包 括 如 下 
信息 : 事务 的 标识 (标明 是 哪个 事务 ) 、 操 作 的 对 象 ( 记 录 内 部 的 标识 )、 更 新 前 数据 的 旧 值 
(对 插入 操作 而 言 ,此 项 为 空 值 ) 、 更 新 后 数据 的 新 值 ( 对 删除 操作 而 言 ,此 项 为 空 值 )。 具 体 
日 志 记 录 形 式 如 下 。 

Lstart_transaction,T]: 事务 工 开始 执行 。 

[write,T,A, 旧 值 ,新 值 ]: 事务 已 将 数据 项 A 的 值 从 旧 值 改 为 新 值 。 

[commit,T]: 事务 T 成 功 完成 ,其 结果 已 被 提交 (永久 记录 ) 给 数据 库 。 

[LAbort,T]: 事务 工 异 常 中 止 , 已 撤销 对 数据 库 的 更 新 。 

引入 日 志 后 ,每 一 个 数据 库 更 新 操作 实际 上 涉及 两 步 操作 : 执行 更 新 数据 库 的 操作 ,将 
更 新 操作 记录 到 日 志 中 ,这 两 步 操 作 执行 的 先后 顺序 对 系统 有 影响 吗 ? 如 果 先 更 新 数据 库 
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后 写 日 志 , 由 于 有 可 能 在 这 两 步 操作 之 间 发 生 故 障 , 这 样 的 执行 顺序 就 无 法 恢复 更 新 操作 
了 ,因此 需要 遵循 “日 志 先 写 ? 的 原则 , 即 必须 先 将 更 新 操作 记录 到 日 志 中 ,而 后 执行 更 新 
操作 。 

2) 数据 备份 

日 志 可 以 提供 针对 事务 故障 和 系统 故障 的 数据 恢复 ,为 了 在 发 生 介质 故障 造成 磁盘 上 
数据 丢失 时 也 能 进行 数据 库 恢复 ,通常 还 需要 采用 数据 备份 技术 。 

DBA 定期 地 将 整个 数据 库 复制 到 另 一 个 磁盘 或 磁带 上 保存 起 来 ,根据 备份 时 系统 状态 
的 不 同 , 转 储 可 分 为 静态 备份 ( 冷 备份 ) 和 动态 备份 ( 热 备份 ) 。 

(1) 静态 备份 是 在 系统 中 无 运行 事务 时 进行 的 备份 ,这 种 备份 方法 简单 ,并 且 能 够 得 到 
一 个 一 致 性 的 副本 ,但 会 降低 数据 库 的 可 用 性 。 

(2) 动态 备份 是 指 备份 期 间 允 许 对 数据 库 进行 存 取 或 修改 , 即 备 份 和 用 户 事务 可 以 并 
发 执行 。 动 态 备 份 可 以 克服 静态 备份 的 缺点 , 它 不 用 等 待 正 在 运行 的 用 户 事务 结束 ,也 不 会 
影响 新 事务 的 运行 。 但 是 ,备份 结束 时 后 援 副本 上 的 数据 并 不 能 保证 正确 有 效 。 


7.6.2 数据 库 恢 复 技术 


下 面 讨论 如 何 利 用 日 志和 数据 库 备份 来 实施 数据 库 恢复 ,将 数据 库 恢复 到 故障 前 的 某 
个 一 致 性 状态 。 针 对 不 同 故障 ,恢复 的 策略 也 不 同 。 

1. 事务 故障 的 恢复 

事务 故障 导致 事务 非 正常 终止 ,天 折 事 务 的 部 分 执行 结果 可 能 已 更 新 到 物理 数据 库 中 ， 
破坏 了 事务 的 原子 性 。 

恢复 子 系统 要 在 不 影响 其 他 事务 运行 的 情况 下 ,强行 回 深 (ROLLBACK ) 该 事务 ,具体 
做 法 是 : 利用 日 志文 件 撤 销 (UNDO) 此 事务 已 对 数据 库 进行 的 修改 ,使 得 该 事务 好 像 根 本 
没有 启动 一 样 。 通 常 做 法 是 逆向 扫描 日 志文 件 , 对 于 日 志 中 记录 的 事务 的 更 新 操作 ,将 更 新 
前 的 值 写 入 数据 库 。 

2. 系统 故障 的 恢复 

发 生 系统 故障 后 内 存 中 数据 库 缓 冲 区 的 内 容 都 将 丢失 ,所 有 运行 事务 都 非 正常 终止 ,这 
将 导致 一 些 尚未 完成 事务 的 部 分 更 新 执行 结果 已 经 写 人 磁盘 上 的 数据 库 , 而 有 些 已 完成 事 
务 对 数据 库 的 更 新 还 留 在 缓冲 区 中 ,尚未 写 回 磁盘 上 的 数据 库 中 ,从 而 造成 数据 库 可 能 处 于 
不 正确 的 状态 。 

恢复 子 系统 必须 在 系统 重新 启动 时 ,让 所 有 非 正 常 终止 的 事务 回 滚 ,强行 撤销 
(UNDO) 所 有 未 完成 事务 ,以 保持 事务 的 原子 性 , 重 做 (REDO) 所 有 已 提交 的 事务 以 保持 事 
务 的 持久 性 ,从 而 保证 数据 库 恢 复 到 一 致 性 的 状态 。 重 做 的 具体 过 程 为 正 向 扫描 日 志 , 对 于 
事务 的 每 一 个 更 新 记录 ,将 更 新 后 的 值 写 入 数据 库 。 

为 了 提高 系统 故障 恢复 的 效率 ,可 采用 具有 检查 点 (Checkpoint) 的 系统 故障 恢复 技术 。 

3. 介质 故障 的 恢复 

介质 故障 破坏 物理 数据 库 , 使 得 所 有 已 提交 的 事务 的 结果 不 能 持久 保存 ,并 影响 正在 存 
取 这 部 分 数据 的 事务 ,破坏 事务 的 原子 性 和 持久 性 ,是 最 严重 的 一 种 故障 。 

介质 故障 的 恢复 不 仅 要 使 用 日 志 .还 要 借助 于 数据 库 备 份 。 对 于 静态 备份 , 装 和 人 数据 库 
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备份 后 即 处 于 一 致 性 状态 ,利用 日 志 重 做 故障 前 已 经 完成 的 事务 ,就 能 将 数据 库 恢 复 到 故障 
时 刻 相 一 致 的 状态 。 对 于 动态 备份 , 装 入 数据 库 备 份 后 ,数据 库 并 不 处 于 一 致 性 状态 ,还 需 
要 根据 日 志文 件 ,利用 系统 故障 恢复 的 方法 ,撤销 备份 结束 时 尚未 完成 事务 对 数据 库 的 更 新 
操作 ,并重 做 故障 前 已 完成 的 事务 ,将 数据 库 恢 复 到 与 故障 时 刻 相 一 致 的 状态 。 


7.6.3 SQL Server 数据 库 备份 与 恢复 技术 


SQL Server 数据 库 中 存在 4 种 备份 类 型 : 

(1) 完整 数据 库 备 份 ; 

(2) 差异 数据 库 备 份 ; 

(3) 事务 日 志 备 份 ; 

(4) 数据 库 文件 或 文件 组 备份 。 

完整 数据 库 备 份 : 任何 其 他 数据 库 备 份 类 型 前 ,必须 首先 至 少 执行 一 次 完整 数据 库 备 
份 。 完 整数 据 库 备 份 是 数据 库 恢 复 时 的 基线 ,执行 完整 数据 库 备 份 时 ,SQL Server 执行 下 
列 操作 : 备份 在 备份 过 程 中 发 生 的 所 有 活动 ; 备份 事务 日 志 中 的 所 有 未 提交 事务 。 

差异 数据 库 备 份 : 在 执行 差异 备份 之 前 必须 已 经 执行 了 完整 数据 库 备 份 。 差 异 备 份 只 
备份 自 上 一 次 完整 数据 库 备 份 发 生 改变 的 内 容 和 在 差异 备份 过 程 中 所 发 生 的 所 有 活动 及 事 
务 日 志 中 所 有 未 提交 的 部 分 。 差 异 数据 库 的 恢复 必须 在 完整 数据 库 备 份 的 基础 上 进行 恢 
复 。 差 异 数据 库 备 份 的 原理 如 图 7. 10 所 示 。 
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图 7.10 差异 数据 库 备 份 原理 图 
事务 日 志 备份 : 备份 事务 日 志 可 以 记录 数据 库 的 更 改 , 但 前 提 是 在 执行 了 完整 数据 库 
备份 之 后 。 进 行事 务 日 志 备份 时 , SQL Server 执行 备份 操作 是 从 上 一 次 成 功 执行 
BACKUP LOG 语句 之 后 到 当前 事务 日 志 结 尾 的 这 段 事务 日 志 , 并 从 事务 日 志 活动 部 分 的 
起 点 处 截断 事务 日 志 , 丢弃 不 活动 部 分 的 信息 。 事 务 日 志 数 据 库 备份 的 原理 如 图 7. 11 
所 示 。 
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图 7.11 事务 日 志 数 据 库 备份 原理 图 
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数据 库 文件 或 文件 组 备份 : 对 超大 型 数据 库 执行 完整 数据 库 备份 是 不 可 行 的 ,可 以 执 
行 数据 库 文件 或 文件 组 备份 。 必 须 指定 逻辑 文件 或 文件 组 ,一 般 将 表 和 索引 一 起 备份 。 数 
据 库 文件 或 文件 组 的 恢复 通过 完整 数据 库 备 份 进行 恢复 ,也 可 以 单独 恢复 。 


7.6.4 Oracle 数据库 备 份 与 恢复 技术 


1. Oracle 数据 库 备份 的 类 型 和 方法 

备份 一 个 Oracle 数据 库 有 三 种 标准 方式 : 导出 (Export) 备 份 . 脱 机 备份 (Offline 
Backup) 和 联机 备份 (Online Backup)。 导 出 方式 是 数据 库 的 逻辑 备份 , 脱 机 备份 和 联机 备 
份 都 是 物理 备份 (也 称 为 低级 备份 ) 。 

1) 逻辑 备份 

导出 是 将 数据 库 中 的 数据 备份 到 一 个 称 为 "导出 转 储 文件 ”的 二 进 制 系统 文件 中 。 导 出 
有 以 下 三 种 模式 。 

(1) 用户 模 式 : 导出 用 户 所 有 对 象 及 对 象 中 的 数据 。 

(2) 表 模 式 : 导出 用 户 的 所 有 表 或 者 用 户 指定 的 表 。 

(3) 全 局 模式 : 导出 数据 库 中 的 所 有 对 象 ,包括 所 有 数据 ,数据 定义 和 用 于 重 构 数 据 库 
的 存储 对 象 。 

导出 备份 可 以 导出 整个 数据 库 、 指 定 用 户 或 指定 表 。 在 导出 期 间 , 可 以 选择 是 否 导 
出 与 表 相 关 的 数据 字典 的 信息 ,如 权限 .索引 和 与 其 相关 的 约束 条 件 , 导 出 备份 有 以 下 三 
种 类 型 。 

(1) 完全 型 : 对 所 有 表 执 行 全 数据 库 导 出 或 仅 对 上 次 导出 后 修改 过 的 表 执 行 全 数据 库 
导出 。 

(2) 积累 型 : 备份 上 一 次 积累 型 备份 所 改变 的 数据 。 

(3) 增 量 型 : 备份 上 一 次 备份 后 改变 的 数据 。 

导入 是 导出 的 逆 过 程 ,导入 时 读 取 导 出 创建 的 转 储 二 进 制 文件 以 恢复 数据 。 可 以 导入 
全 部 或 部 分 已 导出 的 数据 。 如 果 导 入 一 个 完全 导出 的 整个 导出 转 储 文件 , 则 所 有 数据 库 
对 象 (包括 表 空 间 、 数 据 文件 和 用 户 ) 都 会 在 导入 时 创建 。 如 果 只 打算 从 导出 转 储 文件 中 
导 和 人 部 分 数据 ,那么 表 空间 、 数 据 文件 和 将 拥有 并 存储 那些 数据 的 用 户 必 须 在 导入 前 设 
置 好 。 

2) 物理 备份 

物理 备份 是 复制 数据 库 文 件 而 不 是 其 逻辑 内 容 。Oracle 支持 脱 机 与 联机 两 种 物理 
备份 。 

(1) 脱 机 备份 。 脱 机 备份 在 数据 库 已 经 正常 关闭 的 情况 下 进行 。 数 据 库 正 常 关闭 后 会 
提供 给 用 户 一 个 完整 的 数据 库 。 当 数据 库 处 于 脱 机 备份 状态 时 ,备份 的 文件 包括 所 有 数据 
文件 ,控制 文件 ,联机 重 做 日 志和 服务 器 参数 文件 。 

当 数 据 库 关闭 时 ,对 所 有 这 些 文件 进行 备份 可 以 提供 一 个 数据 库 关闭 时 的 完整 镜像 。 
以 后 可 以 从 备份 中 获取 整个 文件 集 并 恢复 数据 库 的 功能 。 

在 磁盘 空间 容许 的 情况 下 ,首先 将 需 备 份 的 文件 复制 到 磁盘 上 ,然后 在 空闲 时 将 其 备份 
到 磁带 上 。 脱 机 备份 一 般 在 SQL * Plus 中 进行 。 

例如 ,把 XSCJ 数据 库 的 所 有 数据 文件 、 重 做 日 志文 件 和 控制 文件 都 备份 。 
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中 正常 关闭 要 备份 的 实例 。 


C:> sqlplus/nolog 

SQL > connect system/manager as sysdba 

SQL > shutdown normal 

@ 备份 数据 库 。 

使 用 操作 系统 的 备份 工具 备份 所 有 的 数据 文件 、 重 做 日 志文 件 、 控 制 文件 和 参数 文件 。 
@ 启动 数据 库 。 


SQL > startup mount 


(2) 联机 备份 。 数 据 库 可 能 要 求 24h 运行 ,而 且 随 时 会 对 数据 进行 操作 。 联 机 备份 可 
以 在 数据 库 打 开 的 情况 下 进行 ,一 般 通 过 使 用 ALTER 命令 改变 表 空 间 的 状态 来 开始 进行 
备份 ,备份 完成 后 恢复 原来 的 状态 ,否则 重 做 日 志 会 错 配 , 在 下 次 启动 数据 库 时 引起 表 空 间 
的 修改 。 

进行 联机 备份 时 要 求 数据 库 必须 在 归档 方式 下 操作 ,数据 库 不 使 用 或 使 用 率 低 ,同时 要 
有 大 量 的 存储 空间 。 

数据 库 可 从 一 个 联机 备份 中 完全 恢复 ,并 且 可 以 通过 归档 的 重 做 日 志 , 前 滚 到 任 一 时 
刻 。 只 要 数据 库 是 打开 的 ,当时 在 数据 库 中 任 一 提交 的 事务 都 将 被 恢复 ,任何 未 提交 的 事务 
都 将 被 回 滚 。 联 机 备份 的 重要 文件 包括 所 有 数据 文件 .归档 的 重 做 日 志文 件 和 一 个 控制 
文件 。 

Oracle 以 循环 方式 写 联机 重 做 日 志文 件 , 写 满 第 1 个 日 志 后 ,开始 写 第 2 个 ,以 此 类 推 ， 
当 最 后 一 个 联机 重 做 日 志文 件 写 满 后 ,LGWR(Log Write) 后 台 进 程 开始 重新 向 第 1 个 文件 
写 人 人 内容。 当 Oracle 运行 在 ARCHIVELOG 方式 时 ,后 台 进 程 重 写 重 做 日 志文 件 前 将 每 
个 重 做 日 志文 件 做 一 份 复制 件 。 

进行 联机 备份 可 以 使 用 PL/SQL 语句 ,也 可 使 用 备份 向 导 。 但 都 要 求 数据 库 运 行 在 
ARCHIVELOG 方式 下 。 

联机 备份 具备 强 有 力 的 功能 ,其 原因 有 两 个 : 第 一 ,提供 了 完全 的 时 间 点 恢复 ; 第 二 ， 
在 文件 系统 备份 时 允许 数据 库 保持 打开 状态 。 

2. Oracle 数据 库 恢 复 技 术 

最 简单 的 恢复 是 使 用 最 新 的 导出 转 储 文件 ,使 用 Import 命令 ,有 选择 地 导入 所 需要 的 
对 象 和 用 户 。 利 用 恢复 向 导 进 行 恢复 前 ,也 需要 和 Oracle Management 相连 。 若 数据 库 处 于 
打开 状态 , 则 只 能 恢复 表 空间 或 数据 库 文件 。 要 恢复 整个 数据 库 , 数 据 库 必须 处 于 装载 状态 。 

Oracle 数据 库 运 行 在 ARCHIVELOG 下 使 用 恢复 向 导 进 行 恢复 的 步骤 如 下 : 

(1) 数据 库 处 于 装载 状态 , 单 击 【执行 恢复 按钮 ,进入 [执行 恢复 】 界 面 , 可 以 选择 对 整 
个 数据 库 进行 恢复 或 对 某 个 对 象 进行 恢复 。 选 择 【整个 数据 库 恢 复 ] 类 别 中 的 [恢复 到 当前 
时 间或 过 去 的 某 个 时 间 点 】, 在 【主机 身份 证 明 ] 类 别 的 用 户 名 和 口令 文本 框 输入 操作 系统 的 
用 户 名 和 对 应 的 口令 。 

(2) 单 击 【执行 整个 数据 库 恢复 按钮 ,进入 【时 间 点 界面, 在 此 设置 整个 数据 库 恢 复 到 
当前 时 间 还 是 以 前 某 个 时 间 点 。 

(3) 选中 【恢复 到 当前 时 间 】, 单 击 [ 下 一 步 ] 按 钮 ,进入 【 重 命名 界面 ,设置 是 否 将 文件 
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还 原 到 其 他 位 置 。 如 果 选 择 [ 是 .将 文件 复制 到 新 的 公用 位 置 选 项 ,那么 将 控制 文件 更 新 为 
使 用 新 位 置 。 

(4) 单 击 【 下 一 步 3 按 钮 ,进入 【复查 界面 。 

(5) 单 击 【 提 交 】 按 钮 ,完成 恢复 操作 , 剩 下 的 工作 由 Oracle 完成 。 恢 复 完 成 后 ,出 现 【 恢 
复 成 功 ] 界 面 。 

数据 库 备 份 解 决 的 主要 问题 是 实例 失败 和 磁盘 失败 。 针 对 这 两 种 失败 类 型 ,可 以 采用 
不 同 的 恢复 方法 。 

1) 实例 失败 

从 实例 失败 中 恢复 应 自动 进行 。 数 据 库 需要 访问 位 于 正确 位 置 的 所 有 控制 文件 ,联机 
重 做 日 志文 件 和 数据 文件 。 数 据 库 中 任何 未 提交 的 事务 都 要 回 滚 。 一 个 实例 失败 之 后 的 那 
个 数据 库 要 重启 动 时 ,必须 检查 数据 库 报警 日 志 中 的 错误 信息 。 

当 一 个 实例 失败 后 数据 库 启动 时 ,Oracle 检查 数据 文件 和 联机 重 做 日 志文 件 ,并 把 所 
有 文件 同步 到 同一 个 时 间 点 上 ,即使 数据 库 未 运行 在 ARCHIVELOG 方式 中 ,Oracle 也 将 
执行 这 种 同步 。 

2) 磁盘 失败 

磁盘 失败 也 称 为 介质 失败 ,通常 由 磁盘 损坏 或 磁盘 上 的 读 错 误 引 起 ,这 样 , 一 个 磁盘 上 
驻 留 的 当前 数据 库 文件 将 变 得 无 法 被 数据 库 读 出 。 驻 留 联机 重 做 日 志文 件 的 磁盘 应 被 镜 
像 ,失败 时 它们 不 会 丢失 。 镜 像 可 通过 使 用 重 做 日 志文 件 或 操作 系统 级 镜像 文件 实现 。 

如 果 丢 失 的 是 控制 文件 ,不管 选择 什么 备份 方式 都 很 容易 恢复 。 每 个 数据 库 都 有 其 控 
制 文件 的 多 个 复制 , 且 存 储 在 不 同 的 设备 上 。 由 Oracle 安装 程序 生成 的 默认 数据 库 创 建 
脚本 文件 ,只 要 关闭 数据 库 创建 三 个 控制 文件 ,将 它们 放 在 三 个 不 同 的 设备 上 。 要 恢复 
一 个 丢失 的 控制 文件 ,只 要 关闭 数据 库 并 到 保留 有 控制 文件 的 地 方 复制 一 个 到 正确 的 位 
置 即 可 。 

如 果 所 有 控制 文件 都 丢失 ,可 以 使 用 CREATE CONTROLFILE 命令 。 该 命令 允许 为 
数据 库 创 建 一 个 新 的 控制 文件 ,并 指定 数据 库 中 的 所 有 数据 文件 、 联 机 重 做 日 志文 件 和 数据 
库 参 数 。 如 果 对 使 用 的 参数 有 疑问 并 正在 运行 ARECIVELOG 备份 ,可 使 用 以 下 命令 : 


ALTER DATABASE BACKUP CONTROLFILE TRACE; 


当 执 行 这 个 命令 时 ,一 个 合适 的 CREATE CONTROLFILE 命令 将 写 人 到 跟踪 文件 。 
这 时 可 根据 需要 编辑 由 Oracle 创建 的 跟踪 文件 。 

如 果 丢 失 的 是 归档 重 做 日 志文 件 ,就 无 法 恢复 。 为 此 ,最 重要 的 是 使 归档 制作 日 志文 
件 , 目 标 设备 也 保持 镜像 。 归 档 重 做 日 志文 件 与 联机 重 做 日 志文 件 同 等 重要 。 

如 果 丢 失 的 是 数据 文件 ,可 从 前 一 次 的 热 备 份 中 恢复 ,其 步骤 如 下 。 

(1) 从 备份 中 把 丢失 的 文件 恢复 到 其 原来 位 置 。 

(2) 安装 数据 库 

ORACLE SID = CC1; export ORACLE_SID 

ORAENV_ASK = NO; export ORAENV_AS 

conect system/manager as sysdba 

startup mount ccl1; 
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(3) 恢复 数据 库 , 要 求 给 出 恢复 所 需 的 各 归档 日 志文 件 名 。 
recover database; 


出 现 提示 时 ,为 需要 的 归档 重 做 日 志文 件 输入 文件 名 。 另 外 , 当 数 据 库 恢复 重 做 发 出 提 
示 时 ,可 以 使 用 AUTO 选项 。AUTO 选项 使 用 定义 的 归档 制作 日 志文 件 目标 目录 和 文件 
名 称 格式 ,为 归档 重 做 日 志文 件 名 生成 默认 值 。 如 果 移 动 了 归档 重 做 日 志文 件 ,就 不 能 使 用 
(4) 打开 数据 库 


alter database open; 


当 从 备份 恢复 数据 文件 时 ,数据 库 会 辨认 它 是 否 来 自 数据 库 停止 前 的 那个 时 间 点 。 要 
找到 那个 时 间 点 ,就 要 应 用 归档 重 做 日 志文 件 里 找到 的 事务 。 


7.7 数据库 加 密 技术 


随 着 对 数据 隐私 和 安全 越 来 越 多 的 关注 和 要 求 ,信息 技术 提供 者 必须 加 强 DBMS 的 安 
全 策略 和 功能 ,以 保护 它们 关键 数据 的 安全 。 由 于 加 密 可 以 为 DBMS 提供 更 高 的 安全 性 ， 
数据 库 加 密 技 术 在 DBMS 中 被 广泛 采用 。 与 一 般 的 文件 加 密 相 比 , 对 数据 库 中 的 数据 实现 
加 密 有 更 大 的 难度 ,涉及 到 一 般 的 文件 加 密 不 需 考 虑 的 许多 问题 。 下 面 对 数 据 库 加 密 的 要 
求 及 数据 库 加 密 的 实现 方法 进行 分 析 和 阐述 。 


7.7.1 数据 库 加 密 要 实现 的 目标 


1. 传统 的 数据 库 加 密 技 术 

数据 加 密 技术 是 一 种 重要 的 信息 安全 技术 , 它 通过 某 种 加 密 算法 将 明文 数据 变换 成 
只 有 经 过 解密 才 可 读 的 密 文 数据 ,使 未 经 授权 的 访问 即使 得 到 密 文 数据 也 不 能 解读 其 
信息 。 

传统 的 数据 加 密 技术 包括 以 下 三 种 。 

1) 对 称 加 密 

对 称 加 密 也 称 为 共享 密 钥 加密 。 发 送 者 和 接收 者 双方 使 用 相同 的 密 钥 。 由 于 安全 强度 
高 .加 密 速度 快 ,成 为 最 常用 的 加 密 技术 。 主 要 的 加 密 算法 有 DES 算法 和 AES 算法 。 

2) 非 对 称 加 密 

非 对 称 加 密 又 称 为 公 钥 加 密 。 加 密 与 解密 双方 使 用 不 同 的 密 钥 , 并 且 利用 现 有 的 技术 
和 设备 不 能 从 公 钥 推出 私 钥 。 常 用 的 公 钥 加 密 算 法 是 RSA, 它 不 但 可 以 用 来 加 密 数 据 , 还 
可 用 来 进行 身份 认证 和 数据 完整 性 验证 。 

3) 混合 加 密 

由 于 对 称 加 密 算 法 更 简单 ,数据 的 加 密 和 解密 都 使 用 同一 个 密 钥 ,所 以 比 起 非 对 称 加 
密 , 它 的 速度 要 快 得 多 ,适合 大 量 数据 的 加 密 和 解密 ;主要 缺点 也 是 由 于 使 用 相同 的 密 钥 加 
密 和 解密 数据 引起 的 ,所 有 的 数据 发 送 方 和 接收 方 都 必须 知道 或 可 以 访问 加 密 密 钥 ,必须 将 
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此 加 密 密 钥 发 送 给 所 有 要 求 访问 加 密 数 据 的 一 方 。 所 以 在 密 钥 的 生成 分 发 .备份 .重新 生 
成 和 生命 周期 等 方面 常 存 在 安全 问题 。 而 公 钥 加 密 属 于 非 对 称 加 密 , 不 存在 密 钥 的 分 发 问 
题 , 因 此 在 多 用 户 和 网 络 系统 中 密 钥 管理 非常 简单 ,但 由 于 它 主 要 基于 一 些 难 解 的 数学 问 
题 , 所 以 安全 强度 没有 对 称 加 密 高 ,速度 也 比较 慢 。 

为 了 充分 发 挥 对 称 加 密 与 非 对 称 加 密 的 优势 ,混合 加 密 方案 被 提出 。 在 混合 加 密 方案 
中 ,加 密 者 首先 利用 一 个 随机 生成 的 密 钥 和 对 称 加 密 算法 加 密 数 据 , 然 后 通过 使 用 接收 者 的 
公 钥 将 随机 密 钥 进行 加 密 , 并 与 密 文 一 起 传送 给 接收 者 。 接 收 者 通过 自己 的 私 钥 首 先 解密 
随机 密 钥 ,再 利用 其 解密 密 文 。 此 方案 既 利 用 了 对 称 加密 安 全 强度 高 .速度 快 的 特点 ,也 利 
用 了 非 对 称 加 密 密 钥 管理 简单 的 特性 。 

“一 次 一 密 ” 的 加 密 是 最 安全 的 一 种 加 密 技术 ,加 密 者 在 每 次 加 密 时 都 使 用 与 明文 长 度 
一 样 的 随机 密 钥 ,并 且 每 个 密 钥 都 不 重复 使 用 。 但 在 数据 库 加 密 中 ,由 于 密 钥 的 产生 和 保存 
都 存在 很 大 的 困难 ,因此 在 实际 应 用 中 并 不 常用 。 

2. 数据 库 加 密实 现 的 目标 

与 一 般 的 数据 加 密 和 文件 加 密 相 比 ,由 于 数据 库 中 的 数据 有 很 强 的 相关 性 ,并 且 数 据 量 
大 ,因此 对 它 的 加 密 要 比 普 通 的 数据 加 密 和 文件 加 密 有 更 大 的 难度 , 密 钥 管理 更 加 困难 。 目 
前 ,对 数据 库 的 加 密 方式 主要 分 为 软件 加 密 和 硬件 加 密 。 软 件 加 密 可 以 采用 库 外 加 密 , 也 可 
以 采用 库 内 加 密 方式 。 库 外 加 密 方式 即 采 用 文件 加 密 的 方法 , 它 把 数据 库 作为 一 个 文件 ,把 
每 一 个 数据 块 当 作文 件 的 一 个 记录 进行 加 密 。 文 件 系 统 与 数据 库 管理 系统 交换 的 就 是 块 
号 。 库 内 加 密 按 加 密 的 粒度 ,可 以 进行 记录 加 密 , 也 可 以 进行 字段 加 密 , 还 可 以 对 数据 元 素 
进行 加 密 。 数 据 元 素 加 密 时 ,每 个 元 素 被 当 作 一 个 文件 进行 加 密 。 硬 件 加 密 是 在 物理 存储 
器 (磁盘 ) 与 数据 库 文件 之 间 加 一 个 硬件 装置 ,使 之 与 实际 的 数据 库 脱离 ,加 密 时 只 对 专 一 磁 
盘 上 的 数据 加 密 。 

对 数据 加 密 的 过 程 可 将 数据 打 乱 , 仅 允 许 经 过 授权 的 人 员 访 问 和 读 取 数 据 , 从 而 确保 数 
据 的 保密 性 ,是 一 种 有 助 于 保护 数据 的 机 制 。 原 始 数 据 ( 称 为 “明文 ”) 与 密 钥 值 一 起 经 过 一 
个 或 多 个 数学 公式 处 理 后 ,数据 就 完成 了 加 密 。 此 过 程 使 原始 数据 转 为 不 可 读 形 式 。 加 密 
过 的 数据 称 为 “ 密 文 ”。 为 使 此 数据 重新 可 读 , 数 据 接收 方 需要 使 用 相反 的 数学 过 程 以 及 正 
确 的 密 钥 将 数据 解密 。 

数据 库 加 密 要 求 做 到 : 

(1) 数据 库 中 信息 保存 时 间 比 较 长 ,不 能 采取 一 次 一 密 的 方法 进行 加 密 ,应 该 选用 其 他 
加 密 方式 ,从 实际 上 达到 不 可 破译 。 

(2) 加 密 执行 后 ,需要 的 存储 空间 不 应 明显 增 大 。 

(3) 加 密 / 解 密 速度 要 快 ,尤其 是 解密 速度 要 快 ,使 用 户 感觉 不 到 加 密 / 解 密 时 延 和 系统 
性 能 变化 。 

(4) 授权 机 制 要 尽 可 能 灵活 。 在 多 用 户 环 境 中 使 用 数据 库 系统 ,每 个 用 户 只 用 到 其 中 
一 小 部 分 数据 。 所 以 ,系统 应 有 比较 强 的 访问 控制 机 制 ,再 加 上 灵活 的 授权 机 制 配合 起 来 对 
数据 库 数 据 进 行 保护 。 这 样 既 增 加 了 系统 的 安全 性 ,又 方便 了 用 户 的 使 用 。 

(5) 需要 提供 一 套 安全 的 、 灵 活 的 密 钥 管理 机 制 。 

(6) 不 影响 数据 库 系统 的 原 有 功能 ,保持 数据 库 操作 (如 查询 ,检索 、 修 改 、 更 新 ) 的 灵活 
性 和 简便 性 。 
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(7) 加 密 后 仍 允 许 用 户 对 数据 库 的 不 同 粒度 进行 访问 。 
7.7.2 ”数据库 加 密 技术 中 的 关键 问题 


数据 库 加 密 需 要 考虑 几 个 重要 问题 :是 在 数据 库 引擎 内 或 产生 数据 的 应 用 程序 中 或 是 
在 硬件 设备 上 进行 加 密 /解密 ? 密 钥 是 存储 在 数据 库 中 还 是 其 他 更 安全 的 地 方 ? 加 密 数 据 
粒度 基于 数据 库 . 表 还 是 字段 ? 加 密 效果 与 其 对 性 能 的 影响 如 何 ? 

针对 上 述 几 个 问题 ,结合 数据 库 数据 存储 时 间 长 ,共享 性 高 等 特点 ,在 数据 库 加 密 技术 
中 ,重点 是 要 选择 合适 的 加 密 执行 层次 .加密 粒 度 和 加 密 算 法 ,并 且 要 与 实际 的 安全 需求 紧 
密 结合 起 来 。 

1. 加 密 执 行 层次 


数据 库 加 密 / 解 密 的 执行 层次 总 体 上 分 为 两 
种 : 在 DBMS 内 部 执行 和 在 DBMS 外 部 执行 ,分 别 
如 图 7. 12 和 图 7. 13 所 示 。 

1) 在 DBMS 内 部 执行 加 密 解 密 

在 DBMS 内 部 执行 加 密 /解密 有 如 下 特点 。 li 

(1) 加 密 /解密 执行 时 间 : 在 数据 存 人 数据 库 
或 从 数据 库 中 取出 时 , 即 在 物理 数据 存 取 之 前 。 

(2) 加 密 解 密 执行 主体 : 在 DBMS 内 部 ,由 用 应 用 程序 
户 定制 的 或 者 DBMS 提供 的 存储 过 程 /函数 执行 。 

(3) 加 密 /解密 过 程 : 在 存储 数据 时 ,通过 触发 。 图 7.12 DBMS 内 部 实现 数据 的 
器 调用 加 密 存储 过 程 对 数据 加 密 , 然 后 将 密 文 数据 和 
存 人 数据 库 ; 在 读 取 数 据 时 ,和 触发 器 调用 相应 存储 过 程 解 密 数 据 ,然后 读 出 结果 。 

(4) 加 密 /解密 算法 : 由 DBMS 系统 提供 。 多 数 DBMS 不 提供 添加 自己 算法 的 接口 ， 
因此 算法 选择 比较 受 限 制 。 

在 DBMS 层 执 行 加 密 / 解 密 的 方式 ,由 于 与 DBMS 系统 结合 紧密 ,可 以 提供 对 各 种 粒度 
加 密 的 灵活 性 。 灵 活 的 加 密 配合 DBMS 的 访问 控制 ,授权 控制 ,不 失 为 一 种 有 效 的 数据 库 
数据 保护 方案 。 另 外 ,这 种 层次 的 加 密 对 于 应 用 程序 来 说 是 透明 的 。 因 此 , 当 安 全 需要 升级 
的 时 候 , 这 种 方案 下 的 应 用 程序 基本 上 无 须 改动 ,从 而 安全 升级 非常 方便 。 然 而 ,这 种 层次 
的 加 密 也 存在 着 一 些 问 题 : 加 密 需要 数据 库 管理 系统 额外 进行 加 密 解密 处 理 , 包 括 每 次 数 
据 存储 / 读 取 时 ,都 会 增加 额外 的 处 理 负担 ,降低 了 系统 运行 的 性 能 ; 密 钥 和 密 文 没有 分 开 
存储 , 带 来 安全 隐患 ， DBA 可 以 访问 密 钥 表 和 加 密 数据 表 ; 可 选择 的 算法 受 限制 ; 为 了 解 
决 性 能 和 算法 受 限 制 的 问题 ,也 可 以 通过 将 加 密 功 能 嵌入 DBMS 内 核 或 者 在 DBMS 中 引入 
一 个 加 密 子 系统 来 完成 加 密 ,但 相对 太 复 杂 ,难以 实现 。 

为 了 利用 这 种 加 密 方式 的 优点 ,可 以 对 密 钥 存储 进行 改进 。 单 独 存储 密 钥 或 采用 二 级 
密 钥 管理 策略 。 单 独 存储 密 钥 是 将 密 钥 存 储 在 操作 系统 或 者 与 数据 库 分 离 的 独立 硬件 上 ， 
而 采用 二 级 密 钥 管理 策略 则 可 以 加 强 密 钥 安全 性 。 

2) 在 DBMS 外 部 执行 加 密 /解密 

在 DBMS 外 部 执行 加 密 /解密 包含 两 种 实现 方式 :第 一 种 方式 如 图 7. 13(a) 所 示 , 是 在 
应 用 程序 中 实现 ,加 密 时 调用 应 用 程序 中 的 加 密 模块 来 完成 数据 的 加 密 工 作 , 然 后 把 密 文 数 
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据 传送 到 DBMS 中 存储 ; 解密 时 把 密 文 数据 取出 到 应 用 程序 中 ,然后 由 应 用 程序 中 的 解密 
模块 将 数据 解密 并 给 出 结果 。 第 二 种 方式 如 图 7. 13(b) 所 示 , 是 直接 利用 操作 系统 提供 的 
功能 实现 加 密 ,这 种 加 密 方式 是 文件 级 别 上 的 加 密 ,直接 加 密 数 据 库 文件 。 
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图 7.13 DBMS 外 部 执行 数据 的 加 密 /解密 


3) 不 同 层次 实现 数据 库 加 密 效果 比较 

在 操作 系统 (OS) 层 执行 加 密 /解密 ,数据 库 元 素 以 及 各 元 素 之 间 的 关系 无 法 辨认 ,所 以 
无 法 产生 合理 的 密 钥 。 一 般 在 OS 层 , 针 对 数据 库 文件 要 么 不 加 密 , 要 么 对 整个 数据 库 文件 
进行 加 密 , 加 密 / 解 密 不 能 合理 执行 。 尤 其 对 于 大 型 数据 库 来 说 ,在 操作 系统 层次 实现 数据 
库 的 加 密 / 解 密 ,目前 还 很 难 做 到 有 效 保证 数据 库 的 安全 ,因此 一 般 不 采用 在 OS 层 进行 数 
据 库 加 密 解 密 。 

在 DBMS 层 执行 加 密 / 解 密 , 不 会 增加 额外 的 处 理 负担 ,因此 对 DBMS 本 身 性 能 影响 
小 ; 另外 ,实现 了 密 钥 与 密 文 的 分 离 , 安 全 程度 相对 较 高 ;算法 由 应 用 程序 提供 ,选择 性 大 ， 
恶意 DBA 不 知道 算法 ,即使 能 够 得 到 密 钥 和 密 文 也 较 难得 到 明文 信息 。 

直接 在 操作 系统 层 对 数据 库 进 行 加 密 , 由 于 不 能 辨认 数据 库 中 数据 的 关系 ,因此 数据 加 
密 的 粒度 非常 粗糙 ,也 无 法 产生 合理 的 密 钥 ,更 谈 不 上 密 钥 管理 和 保护 。 这 种 层次 的 加 密 在 
实际 的 数据 库 加 密 应 用 中 ,只 能 起 到 辅助 作用 ,为 数据 库 系统 多 添加 一 层 保 护 。 

DBMS 外 部 加 密 主要 存在 着 可 用 性 与 安全 性 的 矛盾 : 加 密 粒 度 受 DBMS 接口 支持 的 
限制 ,灵活 性 不 够 强 ;安全 升级 时 ,应 用 程序 改动 比较 大 ;对 于 密 文 数据 ,DBMS 本 身 的 一 些 
功能 会 受到 影响 :DBMS 内 部 扩展 SQL 语言 中 的 一 些 内 部 函数 将 对 加 密 数 据 失去 作用 。 

DBMS 管理 系统 中 应 用 开发 工具 不 能 直接 对 加 密 数据 进行 操作 ,虽然 有 一 些 理论 和 方 
法 可 以 实现 对 数据 库 密 文 进行 操作 ,但 如 果 能 够 在 DBMS 层次 考虑 加 密 问 题 ,数据 库 加 密 
将 会 有 一 个 新 的 飞跃 。 

2. 加 密 算法 选择 

数据 库 加 密 技 术 的 安全 很 大 程度 上 取决 于 加 密 算法 的 强度 ,加 密 算法 直接 影响 到 数据 
库 加 密 的 安全 和 性 能 。 因 此 ,加 密 算法 的 选择 在 数据 库 加 密 方案 中 显得 举足轻重 。 选 择 算 
法 的 主要 指标 是 安全 和 便于 使 用 。 

安全 的 算法 是 可 靠 的 算法 。 一 个 算法 要 可 靠 应 该 至 少 满足 这 样 一 些 条 件 : 首 先 , 核 心 加 
密 必须 公认 可 靠 , 如 DES 和 RSA 算法 ,它们 经 过 二 十 多 年 的 考验 、 鉴 定 , 数 人 攻击 而 无 人 承 
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认 攻 破 ; 加 密 算 法 复杂 度 , 主 要 是 解密 算法 的 复杂 性 要 强 , 事 实证 明 , 仅 靠 对 算法 保密 是 不 
安全 的 ,因为 软件 加 密 总 可 以 通过 反 汇 编 可 执行 程序 来 发 现 ; 另 外 加 密 算法 必须 支持 足够 长 
的 密 钥 ,加 密 算法 的 实现 必须 可 靠 ,这 样 才 能 具有 和 较 强 的 抗 分 析 破 译 能 力 。 

数据 库 加 密 中 常用 的 对 称 密 钥 的 分 组 密码 算法 有 三 重 DES、 IDEA、RCS、 RC6、 
Blowfish、CAST、RC2、AES。 它 们 的 明文 按 固 定 长 度 分 组 ,对 各 组 数据 用 不 同 的 密 钥 加 密 
(或 解密 )。 这 类 密码 按 分 组 进行 加 密 变 换 , 车 明文 尾部 不 满 一 组 , 则 用 填充 随机 数 的 办 法 扩 
充 其 为 整 组 再 加 密 。 该 密 文 长 度 大 于 明文 长 度 , 但 数据 库 加 密 后 的 数据 长 度 不 能 改变 ,并 
且 , 分 组 加 密 算法 中 的 DES 算法 密 钥 长 度 固定 ,无 法 扩展 ,并 且 已 经 被 攻破 ,AES 算法 至 少 
128 位 分 组 ,都 不 太 适 合 数据 库 加 密 。 

数据 库 中 的 数据 特点 之 一 是 共享 性 ,有 权限 的 用 户 可 能 随时 需要 查询 数据 ,因此 ,对 加 
密 速度 有 要 求 , 要 求 加 密 后 ,数据 量 不 能 明显 增加 ,数据 长 度 不 应 改变 ,而 且 速 度 要 尽量 快 。 

根据 数据 库 加 密 速 度 和 安全 性 需要 ,加 密 数据 采用 对 称 加 密 算法 。 密 钥 管 理 则 采用 多 
级 密 钥 管理 体制 ( 即 分 级 加 密 管理 模式 )。 

3. 加 密 粒 度 选 择 

数据 库 的 加 密 粒 度 指 的 是 数据 加 密 的 最 小 单位 ,主要 有 表 、 字 段 .数据 元 素 等 。 在 数据 
库 中 执行 加 密 ,加 密 粒 度 越 小 , 则 可 以 选择 加 密 数据 的 灵活 性 就 越 大 ,但 是 产生 的 密 钥 数量 
也 大 ,会 带 来 管理 方面 的 问题 。 数 据 库 中 加 密 粒 度 的 选择 要 根据 需要 ,充分 衡量 安全 性 和 灵 
活性 等 需求 。 选 择 的 过 程 中 ,由 于 数据 库 中 存储 的 数据 包括 非 敏 感 数 据 ,因此 ,可 以 只 选择 
敏感 数据 部 分 进行 加 密 , 从 而 加 密 粒 度 越 小 ,加 密 执行 消耗 资源 就 少 ,投入 费用 就 少 。 

加 密 粒 度 的 选择 可 以 是 如 下 几 种 之 一 。 

(1) 属性 值 : 可 选 的 最 小 粒度 ,每 个 元 组 的 属性 值 可 以 单独 加 密 。 

(2) 记录 / 行 : 表 中 的 每 个 记录 单独 加 密 。 在 知道 需要 加 密 的 记录 在 表 中 的 位 置 时 可 
以 不 加 密 整 个 表 内 容 , 而 选择 记录 / 行 作为 最 小 粒度 加 密 。 

(3) 属性 / 列 : 可 以 仅仅 加 密 某 些 属性 的 列 , 如 表 中 的 信用 卡号 、 身 份 证 号 、 社 会 保障 
号 等 。 
(4) 页 / 块 : 一 般 自动 加 密 处 理 时 选择 。 需 要 加 密 的 数据 页 / 块 存在 硬盘 上 ,对 整个 页 / 
块 进行 加 密 ,一 个 块 包括 数 个 元 组 (默认 一 般 为 16KB) 。 

加 密 粒 度 的 选择 有 一 个 原则 : 避免 加 密 非 敏感 数据 。 如 果 一 个 记录 只 包含 少数 敏感 字 
段 ,我 们 选择 记录 或 块 作为 加 密 粒度 ,那么 就 会 造成 一 定 的 浪费 。 而 如 果 整 个 表 都 是 需要 加 
密 的 敏感 数据 ,那么 ,选择 页 作为 加 密 粒 度 效 率 会 比较 高 。 

以 文件 或 列 为 单位 进行 加 密 ,一 方面 密 钥 需要 反复 使 用 ,加 密 系 统 的 可 靠 性 将 会 降低 ， 
另 一 方面 加 /解密 一 些 不 必要 的 信息 可 能 会 导致 时 间 过 长 而 无 法 使 用 。 在 目前 的 条 件 下 ， 
加 /解密 的 粒度 一 般 选 择 字段 。 


7.7.3 SQL Server 数据 库 加 密 技 术 


SQL Server 2000 以 前 的 版 本 没有 内 置 数据 加 密 功能 , 若 要 在 SQL Server 2000 中 进行 
数据 加 密 ,不 得 不 买 第 三 家 产品 ,然后 在 服务 器 外 部 作 COM 调用 或 者 是 在 数据 送 服务 器 之 
前 在 客户 端的 应 用 中 执行 加 密 。 这 意味 着 加 密 的 密 钥 或 证 书 不 得 不 由 加 密 者 自己 负责 保 
护 ,而 保护 密 钥 是 数据 加 密 中 最 难 的 事 , 所 以 即使 很 多 应 用 中 数据 已 被 很 强 地 加 密 过 ,数据 
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保护 仍然 很 弱 。 

SQL Server 2005 以 后 的 版 本 通过 将 数据 加 密 作为 数据 库 的 内 在 特性 解决 了 这 个 问 
题 。 它 除了 提供 多 层次 的 密 钥 和 丰富 的 加 密 算 法 外 ,最 大 的 好 处 是 用 户 可 以 选择 数据 库 服 
务 器 管理 密 钥 。 

图 7. 14 中 服务 器 主 密 钥 (Service Master Key) 保护 数据 库 主 密 钥 (Database Master 
Keys) ,而 数据 库 主 密 钥 又 保护 证 书 (CCertificates) 和 非 对 称 密 钥 (Asymmetric Keys) ,最 底 
层 的 对 称 密 钥 (Symmetric Keys) 被 证 书 、 非 对 称 密 钥 或 其 他 的 对 称 密 钥 保 护 , 用 户 只 需 通过 
提供 密码 来 保护 这 一 系列 的 密 钥 。 


区 Windows 级 别 


四 SQL Server 级 别 
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图 7.14 SQL Server 数据 库 密 钥 保护 链 原 理 图 


1. 备份 和 恢复 服务 主 密 钥 

由 于 服务 主 密 钥 是 自动 生成 且 由 系统 管理 的 , 它 只 需要 很 少 的 管理 ,并 且 服 务 主 密 钥 是 
SQL Server 自动 生成 的 ,因此 它 没有 对 应 的 CREATE 和 DROP 语句 。 服 务 主 密 钥 可 以 通 
过 BACKUP SERVICE MASTER KEY 语句 来 备份 ,格式 为 : 





BACKUP SERVICE MASTER KEY TO FILE = 'path to file’ 
ENCRYPTION BY PASSWORD = 'password"’ 


参数 FILE 二 'path_to_file' 的 意思 是 指定 要 将 服务 器 主 密 钥 导出 到 的 文件 的 完整 路 径 
(包括 文件 名 )。 此 路 径 可 以 是 本 地 路 径 , 也 可 以 是 网 络 位 置 的 UNC 路 径 。 

参数 PASSWORD = 'password' 的 意思 是 用 于 对 备份 文件 中 的 服务 主 密 钥 进行 加 密 的 
密码 ,此 密码 应 通过 复杂 性 检查 。 

应 当 对 服务 器 主 密 钥 进行 备份 ,并 将 其 存储 在 另外 一 个 单独 的 安全 位 置 。 创 建 该 备份 
应 该 是 首先 在 服务 器 中 执行 的 管理 操作 之 一 。 
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【 例 7-6】 备份 服务 主 密 钥 。 


BACKUP SERVICE MASTER KEY TO FILE = 'c:\service master key. txt' 

ENCRYPTION BY PASSWORD = '123456"; 

如 果 需 要 从 备份 文件 中 恢复 服务 主 密 钥 ,使 用 RESTORE SERVICE MASTER KEY 
语句 ,基本 语法 格式 为 : 

RESTORE SERVICE MASTER KEY FROM FILE = 'path to file' 

DECRYPTION BY PASSWORD = 'password' [FORCE] 

参数 FORCE 是 指 即 使 存在 数据 丢失 的 风险 ,也 要 强制 替换 服务 器 主 密 钥 。 

但 是 需要 注意 的 是 ,如 果 在 使 用 RESTORE SERVICE MASTER KEY 时 不 得 不 使 用 
FORCE 选项 ,可 能 会 遇 到 部 分 或 全 部 加 密 数 据 丢失 的 情况 。 

【 例 7-7】〗 恢复 服务 主 密 钥 。 


RESTORE SERVICE MASTER KEY FROM FILE = 'c:Nservice_master_key.txt' 
DECRYPTION BY PASSWORD = '123456 " 


2. 创建 ,备份 和 恢复 数据 库 主 密 钥 

数据 库 主 密 钥 通过 CREATE MASTER KEY 语句 生成 ,其 基本 语法 格式 如 下 : 

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'password’ 

备份 数据 库 主 密 钥 可 以 通过 使 用 BACKUP MASTER KEY 来 进行 ,基本 语法 格式 
如 下 : 

BACKUP MASTER KEY TO FILE = 'path to file' 

ENCRYPTION BY PASSWORD = 'password" 

恢复 数据 库 主 密 钥 使 用 RESTORE MASTER KEY 语句 , 它 需 要 使 用 DECRYPTION 
BY PASSWORD 子 句 提供 备份 时 指定 的 加 密 密 码 ,还 要 使 用 ENCRYPTION BY 
PASSWORD 子 句 来 确认 创建 该 数据 库 主 密码 时 的 密码 ,SQL Server 使 用 它 提供 的 密码 来 
加 密 数 据 库 主 密 钥 之 后 保存 在 数据 库 中 。 基 本 语法 格式 如 下 : 


RESTORE MASTER KEY FROM FILE = 'path to _file’ 

DECRYPTION BY PASSWORD = 'password' 

ENCRYPTION BY PASSWORD = "password '" 

[FORCE] 

建议 在 创建 了 数据 库 主 密 钥 之 后 立即 备份 数据 库 主 密 钥 ,并 把 它 保 存 到 一 个 安全 的 地 
方 。 同 样 ,使 用 FORCE 语句 可 能 导致 已 加 密 数据 的 丢失 。 

3. 创建 数字 证 书 

SQL Server 数据 库 的 数字 证 书 可 以 使 用 Management Studio 和 SQL 语句 创建 ,下 面 
是 一 个 使 用 SQL 语句 创建 数字 证 书 的 例子 。 

【 例 7-8】 创建 SQL Server 的 数字 证 书 。 


CREATE CERTIFICATE TestCertificate 
ENCRYPTION BY PASSWORD = '123456" 
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WITH SUBJECT = 'This is a test certificate’, 

START_DATE = '12/28/2009", 

EXPIRY_DATE = '1/1/2018'; 

例 7-8 创建 了 一 个 名 为 TestCertificate. 口 令 为 123456、 有 限期 为 2009 年 12 月 28 日 到 
2018 年 1 月 1 日 的 数字 证 书 。 

4. 使 用 SQL Server 数字 证 书 加 密 /解密 数据 

通过 内 置 的 函数 EncryptByCert、DecryptByCert 和 Cert_ID, 可 以 使 用 上 面 创 建 的 数字 
证 书 来 加 密 和 解密 数据 。 

1) Cert_ID 函数 

Cert_ID 函数 得 到 指定 名 字 的 证 书 的 ID。 格 式 为 : 


Cert_ID ('cert_name') 一 一 cert_name 为 证 书 的 名 字 


2) EncryptByCert 函数 

EncryptByCert 函数 是 指使 用 数字 证 书 的 公 钥 加 密 数 据 。 只 能 使 用 相应 的 私 钥 对 加 密 
文本 进行 解密 。 此 类 非 对 称 转换 较 比 使 用 对 称 密 钥 进 行 加 密 和 解密 的 方法 ,其 开销 更 大 。 
建议 在 处 理 大 型 数据 集 ( 如 多 个 表 中 的 用 户 数据 ) 时 不 使 用 非 对称 加 密 。 格 式 为 : 


EncryptByCert (certificate_ID,{ 'cleartext' | @cleartext } ) 


该 函数 基本 参数 的 含义 如 下 。 

(1) certificate_ID 为 通过 Cert_ID 函数 得 到 的 证 书 ID; 

(2) cleartext 为 要 加 密 的 明文 ,类 型 为 nvarchar、 char、varchar、binary、varbinary 或 
nchar; 

(3) EncryptByCert 函数 的 返回 值 是 最 大 大 小 为 8000 个 字 节 的 varbinary。 

下 面 ,我 们 看 看 如 何 使 用 上 述 函 数 对 数据 库 中 的 数据 进行 加 解密 。 

【 例 7-9】 对 “ 某 大 学 综合 教务 管理 系统 ”teachsystem 的 cscore 表 的 score 字段 进行 加 
密 存储 ,SQL 语句 如 下 : 


insert into dbo. cscore values(1,1,1,EncryptByCert(Cert_ID( 'TestCertificate'), N'80')); 





Score 字段 加 密 后 存储 到 数据 库 中 的 效果 如 ”| 二 -apoccor [aaachneeclonensd 
图 7.15 所 示 , 显 示 的 是 “二 进 制 数据 ”。 加 sd Ee 
a 、 1 1 < 二 > 
使 用 普通 的 SQL 查询 语句 无 法 查询 加 密 数 NULL NuLL NU 
据 的 明文 信息 ,必须 使 用 DecryptByCert 函数 解 
密 后 再 进行 查询 。 图 7.15 SQL Server 数据 库 加 密 效果 图 
【 例 7-10】〗 查询 “ 某 大 学 综合 教务 管理 系统 "teachsystem 的 Tscores 表 的 加 密 数 据 ， 
SQL 语句 如 下 : 





甩 
米 








SELECT sid, cid, CONVERT( NVCHAR( 50), 
DECRYPTBYCERT(CERT_ID(N'TestCertificate')， 
score, N'123456')) AS score FROM dbo. cscore 


查询 结果 如 图 7. 16 所 示 ,已 经 可 以 获得 加 密 的 Score 字段 的 明文 信息 了 。 
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图 7.16 SQL Server 数据 库 解密 效果 图 


7.7.4 Oracle 数据 库 加 密 技 术 


到 目前 为 止 ,Oracle 提供 两 种 加 密 方式 : 

(1) 加 密 API, 例 如 包 DBMS_CRYPTO( 在 Oracle 10g 第 1 版 和 更 高 版 本 中 )。 使 用 这 
些 包 ,我 们 可 以 构建 自己 的 基础 架构 ,对 数据 进行 加 密 。 这 种 方法 的 灵活 性 最 强 , 但 是 构建 
和 管理 却 相 当 复 杂 。 

(2) 透明 的 数据 加 密 是 Oracle 10g 第 2 版 和 更 高 版 本 的 一 个 特性 ,使 用 该 特性 ,我 们 就 
不 必 手 动 进行 密码 管理 了 。 数 据 库 管理 密码 ,但 是 正如 名 称 所 指 , 加 密 是 透明 的 一 一 数据 仅 
仅 以 加 密 的 方式 存储 而 已 。 当 我 们 选择 了 这 种 方式 ,扩展 性 比较 差 。 

为 了 更 好 地 理解 数据 库 的 加 密 机 制 ,我 们 将 重点 介绍 第 一 种 方法 。 在 Oracle 10g 中 出 
现 的 dbms_crypto 替代 了 之 前 的 dbms_obfuscation_toolkit,DBMS_CRYPTO 增加 了 若干 
新 的 加 密 算 法 、 哈 希 算法 。DBMS_CRYPTO 还 撤销 了 对 于 public 组 的 执行 权限 。 对 于 
DBMS_CRYPTO 中 的 详细 解释 将 后 续 分 步 介绍 。 

DBMS_CRYPTO 支持 DES 加 密 、 双 密 钥 的 3DES 以 及 三 密 钥 的 3DES 加 密 , 采 用 三 个 
不 同 大 小 的 AES 和 RC4 加 密 算法 。DBMS_CRYPTO 通过 数字 值 如 DBMS_CRYPTO. 
encrypt_aes, 这 些 参 数 是 包 的 全 局 变量 ,可 通过 包 名 . 变量 ,看 起 来 有 点 像 Java 中 static final 
类 变量 .C++ 中 的 static constant, 还 有 用 数字 表示 的 分 组 加 密 模式 ,如 CBC、CFB、ECB 和 
OFB, 以 及 填充 模式 PKCS5 、Zeros、ORCL 或 NONE。 这 些 都 作为 常数 变量 传递 给 加 密 函 
数 ,Oracle 默认 推荐 CBC 模式 和 PKCS5 。 

DBMS_CRYPTO 包 提供 了 一 个 加 密 函 数 和 两 个 存储 过 程 都 取 名 为 encypt, 但 参数 不 
同 ,这 就 是 PL/SQL 的 函数 和 过 程 重 载 ,需要 的 参数 类 型 .参数 数量 和 参数 次 序 不 同 。 函 数 
基于 RAW 的 数据 类 型 ,接收 RAW 数据 类 型 的 密 钥 数据 以 及 可 选 的 初始 向 量 (IV 
initialization vector) 作 为 输入 ,并 返回 RAW 数据 类 型 。 两 道 加 密 存储 过 程 则 是 给 予 LOB 
数据 类 型 ,其 中 之 一 接收 BLOB 类 型 参数 ,而 另外 一 道 过 程 则 接收 CLOB 类 型 参数 ,这 两 个 
存储 过 程 都 利用 RAW 数据 类 型 的 密 钥 和 IV ,而 且 它 们 都 是 利用 BLOB 数据 类 型 的 in out 
参数 。 

下 面 详细 介绍 Oracle 10g 以 后 的 版 本 中 DBMS_CRYPTO 包 的 使 用 方法 。 

1. 简单 随机 数 生成 

使 用 DBMS_CRYPTO 包 可 以 有 三 个 函数 来 生成 简单 的 随机 值 ,包括 三 种 一 一 数字 、 整 
数 、 字 符 。 使 用 这 些 随机 数 生成 函数 是 为 了 在 加 密 时 生成 随机 的 密 匙 。 

【 例 7-11】 使 用 DBMS_CRYPTO 包产 生 随 机 数 。 


SQL > SELECT DBMS_CRYPTO. RandomInteger FROM dual; -- 生成 整数 
SQL > SELECT DBMS_CRYPTO. RandomBytes(6) FROM dual; -- 生成 6 位 Bytes 
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SQL > SELECT DBMS_CRYPTO. RandomNumber FROM dual; -一 生成 Number 


2. 使 用 DBMS_CRYPTO 包 进 行 数 据 加 解密 

为 了 方便 地 使 用 DBMS_CRYPTO 包 进行 数据 加 解密 ,我 们 可 以 创建 自己 的 数据 加 密 
函数 str_crypto 和 解密 函数 str_decrypt。 

【 例 7-12】〗 数据 加 密 函 数 str_crypto。 


SQL > CREATE OR REPLACE FUNCTION str_crypto (string_in in varchar2) return raw is 
string_in raw RAW(128) := UTL_RRW. CRST_ TO RAW(string in); 
key_string varchar2(32) := 'test123456789012345678(@163. com'; 
key_raw RAW(128) : = UTL RANW.CAST TO RAW(key_ string); 
encrypted_raw RAW(128); 
BEGIN 
encrypted raw : = dbms_crypto.Encrypt(src => string_ in raw, 
typ = > DBMS_CRYPTO. DES3_CBC_PKCS5, 
key => key_raw); 
RETURN encrypted_raw; 
END; 
/ 


【 例 7-13】 数据 解密 函数 str_decrypt。 


SQL > create or replace function t to back(raw_in in raw) return varchar2 is 
string_out varchar2(50); 
key_string varchar2(32) := 'test123456789012345678@163. com '; 
key_raw RAW(128) : = UTL_RANW.CAST TO_RAW(key_string); 
decrypted_raw RAW(128); 
begin 
decrypted raw : = dbms_crypto.Decrypt(src => raw_in, 
typ = > DBMS_CRYPTO. DES3_CBC_PKCS5， 
key => key_raw); 
string_out : = UTL RAW.cast_to_varchar2(decrypted_raw); 
return string_out; 
end; 


X 


下 面 看 看 如 何 使 用 上 面 创建 的 数据 加 密 函 数 str_crypto 和 解密 函数 str_decrypt 进行 
数据 库 数据 加 解密 。 
首先 需要 创建 示例 表 test, 创 建 的 SQL 语句 为 : 


SQL > CREATE TABEL test(a int primary key, psw varchar2(100)); 
使 用 加 密 函 数 str_crypto 插入 三 行 加 密 数 据 : 


SQL > INSERT INTO test VALUES(1, str_crypto ('password')); 
SQL > INSERT INTO test VALUES(1, str_crypto ('123456')); 
SQL > INSERT INTO test VALUES(1, str_crypto ('hello, world')); 


然后 使 用 解密 函数 str_decrypt 可 以 查询 到 明文 数据 


SQL > select a, str_decrypt (psw) psw from test; 
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及 PSW 

1 password 

2 123456 

3 hello, world 


如 果 直 接 使 用 SELECT a,psw from test 查询 , 则 查询 出 来 的 是 乱码 。 


7.8 数据 库 高 级 安全 技术 


本 章 前 面 的 内 容 讨 论 了 数据 库 的 基础 安全 性 ,对 于 高 安全 要 求 的 数据 库 系统 而 言 , 仅 有 
这 样 的 基础 安全 性 是 不 够 的 。 下 面 以 Oracle 实现 的 虚拟 专用 数据 库 机 制 (VPD) 和 基于 标 
签 的 安全 机 制 (OLS) 为 代表 ,介绍 数据 库 系统 的 高 级 安全 技术 和 方法 。VPD 机 制 提供 对 基 
于 内 容 的 访问 控制 和 环境 敏感 的 访问 控制 的 支持 ,OLS 机 制 为 多 级 安全 数据 库 系 统 提供 了 
一 个 实用 的 解决 方案 。 


7.8.1 VPD 机 制 及 其 工作 原理 


1. VPD 机 制 

虚拟 专用 数据 库 (VPD) 机 制 是 一 种 细 粒 度 的 、 基 于 内 容 的 记录 级 访问 控制 机 制 。 它 的 
思想 是 动态 地 、 透 明 地 给 数据 库 访 问 语句 附加 上 合适 的 谓词 ,以 便 根据 实际 的 安全 需求 限定 
用 户 所 能 访问 到 的 数据 记录 ,从 而 达到 为 特定 的 安全 需求 提供 特定 的 数据 库 数据 记录 和 集 的 
效果 。 

由 于 谓词 透明 地 附加 到 数据 库 访 问 语句 上 ,用 户 也 许 根 本 意识 不 到 这 一 点 ,在 他 们 看 
来 ,好 像 系统 为 他 们 提供 了 一 个 量 身 定制 的 专用 数据 库 一 样 ,如 图 7.17 所 示 。 
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SELECT* FROM ORDERS; | 一 一 一 User 


图 7.17 虚拟 专用 数据 库 示 意图 


在 Oracle 的 VPD 机 制 中 ,对 数据 库 的 访问 控制 方法 由 安全 策略 确定 ,一 个 安全 策略 的 
规则 由 一 个 函数 来 实现 ,每 个 函数 的 返回 值 都 是 一 个 字符 串 ,这 样 的 一 个 字符 串 就 构成 了 一 
个 谓词 。 一 个 函数 定义 之 后 ,就 可 以 与 一 张 表 关 联 起 来 ,这 样 , 每 当 要 对 这 张 表 进行 访问 时 ， 
应 用 的 谓词 就 自动 附加 到 对 应 的 访问 语句 上 ,从 而 在 访问 控制 中 发 挥 作 用 。 

数据 库 记录 的 访问 控制 策略 总 是 针对 数据 库 表 定义 的 。 
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【 例 7-14】 对 于 保障 信息 表 MILIT. ASSUR 而 言 ,一 个 简单 的 安全 策略 的 例子 是 : 不 
允许 查询 部 门 号 为 10 的 记录 信息 。 下 面 的 示例 为 这 样 的 安全 策略 定义 一 个 策略 函数 no_ 
dept10。 

CREATE OR REPLACE FUNCTION no_dept10( 

P schema IN VARCHAR2, 

P_object IN VARCHAR2) 

RETURN VARCHAR2 

RS 

BEGIN 

RETURN "deptno_10"; 

END; 

如 例 7-14 所 示 ,每 个 策略 函数 都 有 两 个 参数 : 第 一 个 参数 是 数据 库 模 式 的 名 称 ; 第 二 
个 参数 是 数据 库 对 象 的 名 称 , 数 据 库 对 象 可 以 是 表 或 视图 等 。 策 略 函 数 将 与 参数 中 给 定 的 
模式 中 的 对 象 相关 联 。 数 据 库 系统 在 启动 策略 函数 时 ,为 策略 函数 的 这 两 个 参数 提供 参 
数值 。 

定义 好 的 策略 函数 需要 在 系统 中 登记 ,为 策略 函数 指定 参数 值 ,从 而 把 该 策略 函数 与 一 
个 指定 模式 中 的 指定 的 表 关 联 起 来 。 

【 例 7-15】 上 面 定义 的 策略 函数 no_dept10 可 通过 下 面 的 操作 与 模式 MILIT 中 的 表 
ASSUR 关联 起 来 。 

BEGIN 


DBMS_RLS. add_policy 
(object_schema 之 "MILIT", 


object_name 之 "ASSUR", 
policy_name => "quickstart", 
policy function > "no_dept10"; 
END; 


此 后 ,对 MILIT. ASSUR 进行 访问 时 ,函数 no_dept10 产生 的 谓词 自动 附加 到 访问 语 
句 上 。 如 果 用 户 执行 以 下 操作 ,查询 ASSUR 表 中 的 部 门 号 


SELECT DISTINCT deptno FROM emp; 


则 查询 结果 为 : 


显示 结果 中 没有 部 门 号 10, 这 是 因为 系统 自动 给 其 中 的 SELECT 语句 附加 上 了 函数 
no_dept10 产生 的 谓词 ,实际 上 ,把 SELECT 语句 改 成 了 以 下 形式 : 

SELECT DISTINCT deptno FROM emp WHERE deptno!= 10 

所 以 ,执行 SELECT 请 句 时 ,部 门 号 为 10 的 记录 被 过 滤 掉 了 。 当 然 ,系统 对 SELECT 
语句 的 修改 对 于 用 户 来 说 是 透明 的 。 从 这 个 例子 还 可 以 看 到 ,这 里 所 说 的 谓词 就 是 
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WHERE 语句 。 
策略 函数 可 以 根据 需要 进行 修改 ,不 需要 重新 登记 安全 策略 ,函数 修改 后 即 可 生效 。 
2. VPD 机 制 的 工作 原理 


VPD 机 制 是 绑 定 到 表 、 视 图 等 数据 库 对 象 上 的 访问 控制 机 制 ,下 面 仅 介绍 针对 数据 库 
表 的 VPD 机 制 。 

VPD 机 制 根据 安全 策略 实施 访问 控制 ,针对 需要 保护 的 数据 库 表 ,可 以 为 它 定义 多 种 
安全 策略 ,每 个 安全 策略 由 一 个 策略 函数 实现 。 每 个 策略 函数 具有 两 个 参数 ,第 一 个 参数 是 
模式 名 ,第 二 个 参数 是 表 名 ,通过 这 两 个 参数 ,一 个 策略 函数 可 以 和 一 个 特定 模式 中 的 一 张 
特定 的 表 关联 起 来 。 每 个 策略 函数 产生 一 个 字符 串 类 型 的 返回 值 , 这 个 返回 值 构成 一 个 

当 用 户 对 受 保 护 的 表 进 行 访问 时 ,系统 启动 与 该 表 关 联 的 策略 函数 ,策略 函数 产生 相应 
的 谓词 ,系统 用 该 谓词 构造 一 个 WHERE 子 句 , 把 它 附加 到 原始 的 访问 语句 上 ,把 原始 的 访 
问 语句 修改 为 新 的 访问 语句 。 

策略 函数 的 参数 值 是 在 对 安全 策略 进行 登记 时 确定 的 ,安全 策略 的 登记 通过 存储 过 程 
DBMS_RLS. ADD_POLICY 来 完成 。 在 登记 安全 策略 时 ,需要 给 出 模式 名 、 表 名 、 安 全 策略 
名 策略 函数 名 等 信息 。 

1) 基于 访问 类 型 的 访问 控制 

安全 策略 可 以 针对 SELECT、INSERT、UPDATE、DELETE 或 INDEX 等 具体 类 型 的 
语句 实施 。 其 中 ,针对 INDEX 类 型 语句 的 安全 策略 将 影响 CREATE INDEX 和 ALTER 
INDEX 等 命令 的 操作 。 

当 用 户 对 保护 的 表 进 行 访问 时 ,VPD 的 访问 控制 机 制 就 立即 开始 工作 ,检查 访问 语句 
的 类 型 和 相关 安全 策略 ,执行 对 应 的 策略 函数 ,修改 原始 访问 语句 ,并 执行 修改 后 的 访问 语 
句 。 图 7.18 是 VPD 机 制 的 访问 控制 过 程 的 一 个 示例 。 
























































表 people 
原始 语句 VPD 检 查 
| 表 名 = people 
UPDATE people 
SET ename = ”new” 操作 = update 
(1) 用 户 执行 访问 表 的 操作 (2) 根据 表 和 请 句 检查 VPD 策 略 
修改 后 的 语句 
UPDATE people 安全 策略 
SET ename = “new” 一 RETURN “deptno = 
WHERE deptno = Sys_context(“people_ctx*,“deptno™)” 
Sys_context(“people_ctx”,“deptno™) 
(4) 根据 函数 返回 的 谓词 修改 访问 语句 (3) 执行 安全 策略 函数 


7.18 VPD 机 制 的 访问 控制 过 程 


在 默认 情况 下 ,一 个 安全 策略 将 实施 到 所 有 类 型 的 数据 库 访问 语句 中 ,对 所 有 类 型 的 访 
问 语 句 都 实施 控制 。 
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如 果 要 使 一 个 安全 策略 只 针对 SELECT INSERT、UPDATE .DELETE 或 INDEX 中 
的 一 类 或 几 类 语句 实施 控制 ,可 以 在 登记 安全 策略 时 明确 说 明 。 如 果 在 登记 一 个 安全 策略 
时 ,通过 STATEMENT_TYPES 指定 了 访问 语句 的 类 型 ,那么 ,该 安全 策略 只 对 指定 类 型 
的 语句 起 作用 ,这 样 可 以 实现 基于 访问 类 型 的 安全 策略 。 

例如 ,可 以 制定 一 个 安全 策略 ,允许 SELECT 语句 访问 所 有 的 记录 ; 另外 ,制定 一 个 
INSERT 和 UPDATE 型 安全 策略 ,使 用 户 只 能 对 他 所 在 的 部 门 的 记录 进行 插入 或 更 新 操 
作 ; 并 且 , 制 定 一 个 DELETE 型 安全 策略 ,使 用 户 只 能 删除 他 自己 的 记录 。 

2) 多 个 安全 策略 的 访问 控制 

可 以 对 同一 张 表 实 施 多 个 安全 策略 , 当 多 个 安全 策略 实施 到 同一 张 表 上 时 ,系统 对 多 个 
安全 策略 的 控制 实行 逻辑 “与 ?操作 。 有 时 ,两 个 安全 策略 可 能 存在 冲突 ,为 了 解决 这 样 的 冲 
突 , 可 以 在 VPD 机 制 中 对 安全 策略 实行 分 组 管理 ,分 组 时 确保 同一 个 组 中 的 安全 策略 不 产 
生 冲突 结果 。 根 据 具 体 的 应 用 环境 ,启用 一 些 安全 策略 和 禁用 一 些 安全 策略 ,同样 可 避免 安 
全 策略 冲突 情况 的 发 生 ,可 以 通过 在 环境 参数 中 配置 安全 策略 的 方法 来 达到 这 一 目的 。 

每 个 会 话 都 有 相应 的 环境 参数 ,把 安全 策略 的 名 称 设置 到 会 话 的 环境 参数 中 ,可 以 确定 
在 一 个 会 话 中 要 实施 的 将 是 哪个 安全 策略 。 在 建立 一 个 会 话 时 ,系统 自动 启用 该 会 话 的 环 
境 参数 中 设置 的 那些 安全 策略 ,从 而 提供 基于 会 话 的 安全 策略 支持 ,解决 安全 策略 冲突 的 
问题 。 

3) VPD 机 制 的 安全 机 理 

VPD 机 制 的 安全 性 来 自 谓词 的 记录 过 滤 作 用 ,不 管 数据 库 的 访问 请 求 是 怎样 发 出 的 ， 
也 不 管 访问 请 求 是 哪个 用 户 发 出 的 ,谓词 都 要 对 原始 的 查询 结果 进行 过 滤 。 这 种 记录 过 滤 
机 制 实现 了 独立 于 应 用 的 、 一 致 的 记录 安全 性 , 即 不 管 与 数据 库 数 据 打 交道 的 是 什么 样 的 应 
用 。VPD 机 制 的 安全 性 与 受 保护 的 数据 紧密 地 结合 在 一 起 , 它 实 施 的 记录 过 滤 过 程 对 发 出 
数据 库 访 问 请 求 的 应 用 是 透明 的 ,这 种 安全 性 具有 不 可 旁 路 性 。 

记录 过 滤 并 不 是 VPD 机 制 特 有 的 特性 , 它 是 数据 库 系统 中 的 一 个 基本 功能 ,可 以 用 多 
种 方法 来 实现 。 在 应 用 程序 中 实现 记录 过 滤 是 一 种 常见 的 方法 。 与 基于 应 用 的 记录 过 滤 方 
法 相 比 ,VPD 机 制 提供 的 是 一 种 紧 贴 数据 库 的 底层 控制 方法 ,更 有 利于 实现 一 致 和 持久 的 
安全 支持 。 

应 用 程序 的 变化 是 非常 快 的 ,因为 用 户 的 需求 总 是 在 不 断 发 生变 化 , 相 比 而 言 ,一 个 好 
的 数据 库 模 式 的 生存 期 总 是 比 一 个 应 用 程序 的 生存 期 要 长 .所 以 ,数据 库 底层 的 安全 模型 对 
于 实现 整体 的 数据 安全 性 具有 更 重大 的 意义 。 

VPD 机 制 实现 面向 数据 的 安全 支持 ,提供 数据 安全 与 应 用 程序 的 相对 独立 性 。 在 
VPD 机 制 的 框架 下 ,修改 安全 策略 时 ,无 须 变 更 应 用 程序 ; 修改 应 用 程序 时 ,也 不 必 变 更 安 
全 策略 。 


7.8.2 基于 访问 类 型 的 控制 实施 


前 面 已 介绍 ,VPD 机 制 可 以 根据 SELECT INSERT、UPDATE、DELETE 或 INDEX 
等 语句 类 型 进行 有 针对 性 的 访问 控制 。 但 是 ,这 样 的 访问 控制 是 如 何 实施 的 呢 ? 下 面 以 
INSERT UPDATE 和 DELETE 语句 为 代表 .介绍 VPD 机 制 基于 语句 类 型 的 访问 控制 的 
实施 方法 。 
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首先 ,假设 有 如 下 的 安全 需求 : 

(1) 允许 用 户 查 看 所 有 的 数据 记录 ; 

(2) 只 允许 用 户 插入 和 更 新 他 所 在 部 门 的 数据 记录 ; 

(3) 只 允许 用 户 删除 他 自己 的 数据 记录 。 

为 实现 以 上 需求 ,需要 知道 哪个 用 户 正 在 执行 操作 、 该 用 户 的 用 户 名 是 什么 、 该 用 户 所 
在 部 门 的 部 门 号 是 什么 。 可 以 通过 环境 参数 来 获取 这 些 信息 ,不 过 ,在 这 里 ,不 关心 通过 环 
境 参 数 来 获取 这 些 信息 的 具体 方法 。 

1. INSERT/UPDATE 访问 控制 的 实施 


【 例 7-16】 为 了 实现 “只 允许 用 户 插 入 和 更 新 他 所 在 部 门 的 数据 记录 ”的 安全 需求 , 需 
要 为 INSERT 和 UPDATE 操作 建立 一 个 安全 策略 ,策略 函数 定义 如 下 。 


CREATE OR REPLACE FUNCTION dept_only( 

p_schema IN varchar2 DEFAULT NULL, 

p_objectIN VARCHAR2 DEFAULT NULL) 

RUTURN VARCHER2 

RS 

BEGIN 

RETURN "deptno = sys_context("people ctx","deptno")"; 
END; 


以 上 定义 的 策略 函数 dept_only 是 在 安全 管理 员 模 式 中 建立 的 ,这 样 可 借助 不 同 的 模 
式 实现 策略 函数 与 数据 的 分 离 , 有 利于 实现 对 安全 策略 的 保护 。 例 7-16 中 策略 函数 的 两 个 
参数 指定 了 默认 值 ,都 是 NULL, 这 便于 在 对 参数 进行 赋值 前 就 可 以 对 函数 进行 测试 。 下 
面 的 示例 可 以 查看 策略 函数 dept_only 返回 的 谓词 字符 串 。 


SELECT dept_only predicate FROM DULL; 


查询 结果 是 : 


Deptno = sys_context("people ctx", "deptno") 


【 例 7-17】 为 INSERT 和 UPDATE 操作 创建 一 个 安全 策略 ,该 安全 策略 创建 后 ,只 要 
用 户 在 模式 MILIT 中 的 表 PEOPLE 上 执行 插入 或 更 新 操作 ,系统 就 调用 模式 SEC_MGR 
中 的 策略 函数 DEPT_ONLY 实施 访问 控制 。 


BEGIN 

DBMS_RLS. add_policy 

(object_schema 之 "MILIT", 
object_name 之 "PEOPLE", 
policy_name 之 "PEOPLE_IU", 
function schema => "SEC MGR", 
policy function ”之 "Dept_Only", 
statement types > "INSERT,UPDATE", 
update_ check 之 "TRUE"), 

END; 
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创建 了 INSERT/UPDATE 安全 策略 后 ,执行 以 下 UPDATE 操作 时 : 


Update people 
Set ename = "< NEW VALUE>" 
Where deptno = sys_context("people ctx", "deptno") 


系统 将 自动 把 它 修改 为 如 下 的 形式 并 执行 : 


Update people 

set ename = "< NEW_VALUE>" 

where deptno = sys_context("people ctx","deptno")" 

下 面 是 一 个 执行 UPDATE 操作 的 例子 。 

【 例 7-18】 用 户 针对 如 表 7. 3 所 示 的 用 户 部 门 信息 表 7.3 用 户 部 门 信息 表 
表 执 行 UPDATE 操作 。 

设 用 户 所 在 部 门 的 部 门 号 为 20, 他 执行 以 下 操作 


USERNAME DEPTNO 





、 ALLEN 30 
时 ,将 有 一 条 记录 被 更 新 : BLAKE 30 
UPDATE people id 


SET username = "GRIZZLY" 
WHERE username = "ADAMS" 


但 用 户 执行 以 下 操作 时 ,将 没有 记录 被 更 新 : 


UPDATE people 
SET ename = "Bozo" 
WHERE ename = "BLAKE"; 


没有 记录 更 新 是 因为 系统 自动 把 执行 语句 修改 为 : 


UPDATE people 

SET ername = "Bozo"， 

WHERE ename = "BLAKE", 

RND deptno = sys_context("people ctx", "deptno"); 


由 于 用 户 所 在 部 门 的 部 门 号 为 20, 所 以 执行 的 等 价 语句 是 : 


UPDATE people 

SET ername = "Bozo", 

WHERE ename = "BLAKE", 

AND deptno = 20; 

下 面 是 执行 INSERT 操作 的 例子 。 

【 例 7-19】 设 用 户 SCOTT 所 在 部 门 的 部 门 号 为 20, 他 执行 以 下 操作 时 ,将 有 一 条 记 
录 被 插入 到 表 中 : 

INSERT INTO people 


(username, job, salary, deptno) 
VALUES( 'KNOX', 'Clerk', '3000', 20); 


但 用 户 执行 以 下 操作 时 ,将 没有 记录 被 插入 到 表 中 : 


INSERT INTO people 
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(username, job, salary, deptno) 
VALUES( 'ELLISON', 'CEO', '90000', 30); 


这 里 有 一 点 需要 注意 ,在 创建 INSERT/UPDATE 安全 策略 时 ,给 UPDATE_CHECK 
选项 设置 了 TRUE 值 ,这样 , 当 用 户 执 行 插入 操作 时 ,系统 将 把 该 安全 策略 实施 到 插入 语句 
中 。UPDATE_CHECK 选项 的 默认 值 是 FALSE, 如 果 没 有 把 它 设置 为 TRUE, 系统 将 不 
对 插入 操作 实施 该 安全 策略 。 

2. DELETE 访问 控制 的 实施 

【 例 7-20】 为 了 实现 “只 允许 用 户 删 除 他 个 人 的 数据 记录 ”的 安全 需求 ,需要 为 
DELETE 操作 建立 一 个 安全 策略 ,下 面 的 语句 定义 了 所 需 的 策略 函数 user_only: 


CREATE OR REPLACE FUNCTION user_only( 

P schema IN VARCHAR2 DEFAULT NULL, 

Pobject IN VARCHAR2 DEFAULT NULL), 

RETURN VARCHAR2 

RS 

BEGIN 

RETURN "username = sys_context("userenv", "session user")'; 
END; 


下 面 的 操作 将 创建 一 个 DELETE 安全 策略 : 


BEGIN 

DBMS_RLS. add_policy 

(object_schema 之 "SCOTT"， 
object_name 之 "PEOPLE", 
policy_name 之 "PEOPLE_DEL", 
function schema => "SEC MGR", 
policy function => "user_only", 
statement_types 之 "DELETE"); 


END; 

创建 了 DELETE 安全 策略 后 ,用 户 将 只 能 删除 用 户 名 等 于 他 自己 的 数据 记录 。 如 用 户 
SCOTT 执行 DELETE FROM people 操作 ,将 删除 且 只 删除 用 户 名 为 SCOTT 的 数据 
记录 。 


7.8.3 VPD 安全 防线 


VPD 机 制 是 数据 库 系统 传统 的 安全 防线 之 外 的 另 一 道 安 全 防线 ,通过 VPD 机 制 可 
以 增强 系统 的 安全 性 ,VPD 机 制 甚至 可 以 防止 拥有 DBA 角色 的 用 户 访问 受 保护 的 表 。 
在 创建 了 DELETE 安全 策略 的 情况 下 ,拥有 DBA 角色 的 用 户 也 无 法 删除 表 中 的 数据 
记录 : 

当然 ,虽然 VPD 机 制 的 控制 对 DBA 是 有 效 的 ,但 是 ,DBA 有 权 执 行 更 改 策略 函数 、 删 
除数 据 库 表 、 停 用 VPD 安全 策略 等 操作 ,所 以 ,DBA 不 会 因 恶意 用 户 滥用 VPD 机 制 而 永远 
失去 对 数据 库 表 的 访问 能 力 。 

除 针对 访问 类 型 的 控制 ,VPD 机 制 还 可 用 于 完全 禁止 用 户 访问 数据 记录 ,其 方法 是 设 
计 一 个 返回 恒 假 谓词 的 策略 函数 。 
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【 例 7-21】 返回 字符 串 "1 一 0”, 下 面 定义 的 就 是 一 个 这 样 的 函数 。 


CREATE OR REPLACE FUNCTION no_records( 
Pp_schema IN VARCHAR2 DEFAULT NULL, 
pobject IN VARCHAR2 DEFAULT NULL) 
RETURN VARCHAR2 


假设 用 户 SCOTT 创建 了 表 people_ro, 下 面 的 操作 将 创建 一 个 安全 策略 ,禁止 所 有 用 
户 对 表 people_ro 进行 插入 、 更 新 或 删除 操作 : 

BEGIN 

DBMS_RLS. add policy 

(object_schema 之 "SCOTT"， 

object_name 之 "PEOPLE_RO", 

Policy_name 之 "PEOPLE_RO_IUD"， 

function_schema => "SEC_MGR" 

policy function => "NO_RECORDS", 

statement types ”之 "INSERT,UPDATE,DELETE", 

update_check > TRUE); 

END; 

在 正常 情况 下 ,即使 是 DBA 和 数据 的 拥有 者 ,也 摆脱 不 了 VPD 机 制 安全 策略 的 控制 。 
有 了 时 ,这 会 给 数据 库 的 维护 工作 造成 障碍 ,如 妨碍 数据 备份 工作 的 进行 。 针 对 这 样 的 问题 ， 
VPD 机 制 提供 一 个 免 受 控制 的 权限 , 即 EXEMPT ACCESS POLICY 权限 ,获得 该 权限 的 
用 户 ,在 访问 数据 库 数据 时 ,可 以 摆脱 VPD 机 制 所 有 策略 函数 的 限制 ,就 像 根 本 没有 任何 
策略 函数 存在 一 样 。 

EXEMPT ACCESS POLICY 是 非常 强大 的 权限 ,在 授权 时 ,需要 特别 谨慎 。 下 面 的 请 
句 可 以 查询 系统 中 获得 了 该 权限 的 用 户 的 信息 : 

SELECT grantee 

FROM dba_sys_privs 

WHERE PRIVILEGE = 'EXEMPT ACCESS POLICY'; 


7.8.4 ”面向 敏感 字段 的 VPD 功能 


VPD 机 制 可 以 针对 表 的 敏感 字段 启动 访问 控制 功能 ,也 就 是 说 ,可 以 把 一 张 表 中 的 某 
些 字 段 确定 为 敏感 字段 ,并 告诉 系统 , 当 且 仅 当 用 户 对 表 中 的 敏感 字段 进行 访问 时 , 才 启 动 
相应 的 VPD 安全 策略 进行 访问 控制 ,如 果 用 户 只 对 表 中 的 其 他 字段 访问 , 则 不 必 启 动 VPD 
安全 策略 的 访问 控制 功能 。 

【 例 7-22】 某 些 特殊 军事 单位 设置 的 部 门 是 敏感 的 ,在 单位 人 员 信 息 表 中 ,可 以 确定 
部 门 字段 为 敏感 字段 ,利用 VPD 机 制 面向 敏感 字段 的 访问 控制 特性 ,可 以 允许 任何 用 户 查 
看 人 员 信 息 表 中 除 部 门 字段 以 外 的 所 有 信息 ,而 只 允许 用 户 查看 自己 的 部 门 信息 。 
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下 面 的 操作 将 创建 一 个 面向 DEPT 敏感 字段 的 SELECT 策略 : 


BEGIN 

DBMS_RLS.add policy 

(object_schema 之 "SCOTT"， 
object_name 之 "PEOPLE", 
policy_name > "people sel dep", 
function schema ”之 "SEC MGR", 

policy function > "user_only"， 
statement types ”之 "SELECT", 
sec_relevant cols => "DEPT"); 

END; 


策略 中 的 SEC_RELEVANT_COLS 选项 的 值 确定 了 DEPT 字段 为 敏感 字段 ,也 确定 
了 所 创建 的 安全 策略 people_sel_dep 为 面向 敏感 字段 的 安全 策略 , 当 且 仅 当 查询 操作 涉及 
DEPT 字段 时 ,该 安全 策略 才 实 施 控制 作用 。 

当 查 询 操作 涉及 敏感 字段 时 ,上 面 定义 的 安全 策略 只 允许 用 户 查 询 自 己 的 记录 信息 。 
可 以 对 该 安全 策略 做 一 点 修改 ,以 便 允 许 用 户 查 询 其 他 的 记录 信息 ,但 屏蔽 掉 那 些 记录 中 的 
敏感 字段 信息 。 下 面 是 修改 过 的 安全 策略 的 描述 : 


BEGIN 


// 移 除 现 有 安全 策略 

DBMS_RLS.add policy 

(object_schema 之 "SCOTT", 
object_name 之 "PEOPLE", 
policy_name > "people_sel_dept"); 


// 重 新 登记 安全 策略 ,增加 SEC_RELEVRNT_COLS_OPT 选项 
DBMS_RLS. add_policy 


(object_schema 之 "SCOTT", 
object_name 之 "PEOPLE", 
policy_name 之 "people_sel_dept"， 
function_schema 之 "SEC_MGR", 
policy_function => "user_only", 
statement_types 之 "SELECT", 
sec_relevant_ cols 之 "DEPT", 
sec_relevant cols opt >DBMS_RLS.all_rows); 
END; 


修改 后 策略 中 的 SEC_RELEVANT_COLS_OPT 选项 的 值 表示 人 允许 查询 所 有 记录 的 
数据 ,使 那些 在 策略 函数 的 限定 下 查询 不 到 的 记录 也 能 够 被 查询 出 来 ,不 过 ,那些 记录 的 敏 
感 字段 的 数据 都 将 是 不 可 见 的 。 

面向 字段 敏感 性 的 VPD 功能 对 于 支持 私密 性 安全 需求 的 实现 具有 重要 意义 , 它 允 许 
把 敏感 信息 和 非 敏 感 信息 存放 在 一 起 ,同时 能 够 确保 敏感 信息 不 会 泄露 给 无 关 用 户 。 


7.9 数据库 安全 评估 准则 


身份 认证 ,访问 控制 ,安全 审计 数据 加 密 、 备 份 恢复 等 安全 机 制 可 以 在 一 定 程度 上 增强 
数据 库 的 安全 性 ,实现 了 这 些 技术 后 ,需要 对 数据 库 的 安全 性 进行 评估 。 评 估 一 个 数据 库 的 
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安全 性 ,主要 参考 以 下 几 个 基本 要 求 。 

(1) 完全 性 : 系统 是 否 能 对 付 各 种 可 能 的 攻击 。 系 统 要 达到 什么 样 的 完全 性 ,取决 于 
系统 所 处 理 信 息 的 重要 程度 和 敏感 程度 。 

(2) 可 信和 性 : 系统 确实 能 对 付 各 种 可 能 的 攻击 的 可 信 程度 。 可 以 通过 对 系统 进行 分 
析 、\ 证 明 、 测 试 和 渗透 研究 来 获得 系统 的 可 信和 度 。 一 般 来 说 ,要 对 系统 进行 证 明 是 很 困难 的 。 

(3) 系统 灵活 性 : 系统 要 能 实现 各 种 不 同 的 安全 策略 。 如 果 系统 中 设计 了 某 种 安全 策 
略 , 则 系统 的 灵活 性 会 比较 差 。 因 为 不 同 的 情况 下 ,需要 不 同 的 安全 策略 ,因此 系统 应 有 较 
大 的 灵活 性 。 

(4) 便于 使 用 : 在 安全 功能 和 安全 管理 员 之 间 的 接口 要 简单 。 接 口 复杂 比较 容易 出 
错 , 常 会 导致 应 授权 的 用 户 没有 被 授权 ,而 不 该 授权 的 用 户 却 被 授权 了 这 样 的 错误 发 生 。 

(5) 用 户 灵 活性 : 系统 不 应 给 用 户 施 加 一 些 不 必要 的 限制 ,如 进行 认证 时 的 复杂 协议 、 
写 应 用 程序 时 必须 遵从 严格 的 规则 等 。 

(6) 防 算 改 : 安全 机 制 要 能 防止 对 它 本 身 进行 的 非 授 权 的 修改 。 这 一 点 是 必须 的 , 因 
为 即使 安全 机 制 被 证 明 是 正确 的 ,以 后 对 它 进行 修改 也 会 破坏 其 安全 性 。 

(7) 开销 小 : 由 实现 安全 策略 而 带 来 的 额外 开销 应 比较 小 。 

由 于 现 阶 段 缺 乏 数 据 库 安全 评估 工具 ,漏洞 风险 等 级 不 断 提升 ,数据 库 管 理 员 无 法 及 时 
发 现 数据 库 面临 的 安全 问题 。 渗 透 测试 完全 模拟 黑客 的 入 侵 和 攻击 手段 ,利用 数据 库存 在 
的 安全 漏洞 ,在 可 控制 和 非 破坏 性 的 范围 之 内 ,对 数据 库 进行 模拟 攻击 ,能 够 直观 地 向 管理 
员 反 映 数据 库存 在 的 安全 漏洞 。 一 般 常用 的 数据 库 渗透 测试 工具 有 DSQLTools(SQL 注 
入 工具 )、nbsi3. 0(MSSQL 注入 工具 )、MySQLweak (MySQL 数据 库 弱 口令 扫描 器 )、 
pangolin( 数 据 库 注入 工具 )、db2utils (DB2 漏洞 利用 工具 )、oscanner (Oracle 扫描 工具 )、 
Oracle_checkpwd_big(Oracle 弱 口 令 猜 解 工具 ) 等 ,但 这 些 商 用 的 漏洞 扫描 工具 在 实际 应 用 
中 存在 隐藏 测试 结果 的 问题 , 若 无 法 对 某 种 漏洞 进行 测试 .无 法 了 解 存在 漏洞 的 风险 等 级 , 数 
据 库 管 理 员 会 误 以 为 数据 库 是 安全 的 ,可 实际 上 却 存在 安全 隐患 。 所 以 ,提供 具有 可 靠 性 和 安 
全 性 的 评估 报告 和 漏洞 风险 等 级 是 保证 数据 库 管 理 员 及 时 了 解数 据 库 是 否 安全 的 必要 基础 。 

为 保证 数据 库 系统 安全 评估 的 过 程 更 加 完整 .规范 和 公正 ,人 们 制定 了 数据 库 安全 评估 
准则 和 保护 轮廓 等 标准 。 国 内 外 比较 重要 的 数据 库 安 全 标准 ,包括 根据 美国 国防 部 可 信 计 
算 机 系统 评估 准则 TCSEC 编制 的 指南 性 文件 “TCSEC 在 数据 库 管 理 系统 中 的 解释 
(TDI)” 根 据 国际 通用 信息 安全 评估 标准 ISO/IEC 15408( 等 同 CC 准则 ) 制 定 的 数据 库 管 
理 系统 的 保护 轮廓 ,以 及 我 国 出 台 的 有 关 数 据 库 安全 的 评估 标准 等 。 

在 “ 橘 皮 书 ?发布 之 后 ,在 美国 国防 部 、 国 家 计算 机 安全 中 心 C(NCSC) 的 支持 下 又 对 * 橘 
皮 书 ”进行 了 补充 ,出 版 了 一 些 对 * 橘 皮 书 ”中 的 要 求 在 各 种 特定 环境 下 的 解释 ,这 些 解释 性 
的 文件 因为 每 本 书 使 用 不 同 颜色 的 书 皮 , 所 以 人 们 又 将 之 称 为 彩虹 系列 。 其 中 ,将 TCSEC 
应 用 于 数据 库 管理 系统 环境 就 形成 了 重要 的 TDI。 

TDI 作 为 TCSEC 的 系列 解释 之 一 ,发 表 于 1991 年 4 月 。 它 不 是 一 个 独立 文件 ,必须 
结合 TCSEC 一 同 使 用 。 实 际 上 ,TDI 真正 的 作用 并 非 仅仅 局 限于 数据 库 管理 系统 , 它 的 主 
要 思想 也 可 以 用 于 其 他 可 信 应 用 的 解释 ,数据 库 管 理 系统 作为 贯穿 整个 TDI 文档 的 一 个 典 
型 的 应 用 案例 。 

20 世纪 90 年 代 中 期 之 前 ,TDI 作为 可 信 产 品评 估 的 一 个 重要 的 适用 标准 ,在 美国 是 可 
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信 数 据 库 管理 系统 的 评价 基础 。TDI 作为 一 种 数据 库 安 全 评估 标准 ,能 够 指导 开发 者 在 新 
开发 的 商用 DBMS 产品 中 提供 安全 特性 , 即 TCSEC 中 所 提出 的 可 信 要 求 ; 另 一 方面 ,TDI 
作为 一 种 可 度量 的 评估 ,为 处 理 涉 密 、 分 级 和 其 他 敏感 信息 的 安全 数据 库 系统 提供 了 一 种 等 
级 评估 的 方法 。 

以 美国 为 首 的 西方 六 国 发 布 CC 通则 后 , 即 开始 实施 CC 评估 准则 ,并 定 于 2002 年 底 完 
成 由 原先 的 TCSEC 评估 向 CC 评估 的 过 渡 。 实 施 CC 评估 ,重要 的 是 开发 各 类 产品 和 系统 
的 保护 轮廓 CPP) 。 

在 数据 库 管理 系统 产品 市 场 中 屡 占 魁 首 的 Oracle 公司 , 自 CC 标准 发 布 以 来 就 积极 地 
参与 制定 DBMS 的 PP。Oracle 公司 在 1988 年 发 表 了 两 个 数据 库 管 理 系统 的 1.0 版 本 的 
保护 轮廓 ,分别 是 政府 数据 库 管 理 系统 保护 轮廓 G. DBMS. PP 和 商用 数据 库 管理 系统 保护 
轮廓 C. DBMS. PP, 并 且 通 过 了 MAP 的 PP 评估 ,成 为 经 过 正式 登记 注册 的 保护 轮廓 。 
2000 年 3 月 ,Oracle 公司 又 更 新 了 版 本 ,并 合并 以 前 的 两 个 类 别 ,提出 了 通用 数据 库 管理 系 
统 的 2. 1 版 本 的 保护 轮廓 DBMS. PP。 

CC 体系 关于 PP 的 开发 有 标准 的 规范 ,并 发 布 了 “PP 和 ST 的 产生 指南 ”。 在 该 指南 
中 ,特别 推荐 一 个 样本 目录 。DBMS. PP 完全 依照 CC 2. 1 关于 PP 的 规范 开发 而 来 ,目标 评 
估 保 证 级 是 EAL3 ,提供 了 数据 库 管 理 系统 的 安全 要 求 集 , 兼 容 三 种 认证 模式 : OS 认证 、 
DBMS 认证 、 混 合 认证 模式 。 

由 于 数据 库 管理 系统 在 我 国 的 广泛 应 用 ,数据 库 系 统 中 存放 了 大 量 的 数据 ,安全 问题 万 
其 突出 。 我 国 对 数据 库 管理 系统 的 安全 评估 也 开展 了 大 量 工作 。 在 我 国 , 军 方 最 早 涉足 于 
安全 数据 库 的 设计 开发 ,同时 ,也 是 军 方 提出 了 我 国 最 早 的 数据 库 安全 标准 , 即 2001 年 的 
“军用 数据 库 安全 评估 准则 ”。 公 安 部 为 推行 “等 级 保护 计算 机 系统 ”, 也 为 数据 库 安全 做 出 
了 令 人 关注 的 工作 ,并 于 2002 年 发 布 了 公安 部 行业 标准 “GAT/389-2002 计算 机 信息 系统 
安全 等 级 保护 数据 库 管理 系统 技术 要 求 ”"。 这 两 个 标准 是 我 国 目前 关于 数据 库 安全 的 直接 
的 两 个 标准 。 

GA/T 389-2002 是 公安 部 推行 的 “等 级 保护 体系 ”的 重要 标准 之 一 ,该 标准 与 “通用 要 
求 "(GA/T 390-2002 计算 机 信息 系统 安全 等 级 保护 通用 技术 要 求 ) 一 起 ,作为 GB 17859- 
1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》( 以 下 简称 《准则 》) 技 术 要 求 在 数据 库 应 用 方 
面 的 指南 ,详细 说 明了 为 实现 (准则 》 所 提出 的 安全 要 求 应 采取 的 具体 数据 库 安全 策略 和 安 
全 机 制 ,以 及 相应 的 安全 功能 和 保证 措施 。GA/T 389-2002 针对 数据 库 系 统 的 特定 情况 ， 
提出 了 分 级 的 安全 技术 要 求 。 

GA/T 389-2002 遵循 的 分 级 准则 是 GB 17859-1999 的 5 级 划分 准则 ,同时 在 5 级 安全 
要 求 的 基础 上 添加 了 许多 CC 的 安全 要 求 。GA/T 389-2002 中 基本 的 DBMS 安全 技术 要 
求 包括 身份 鉴别 、 自 主 访问 控制 标记、 强制 访问 控制 ,客体 重用 、 审 计数 据 完整 性 ,隐蔽 通 
道 分 析 、 可 信和 路 径 、 推 理 控 制 .TSF 保护 、 资 源 利 用 、TCB 访问 控制 .配置 管理 .分 发 和 操作 、 
开发 ,指导 性 文档 、 生 命 周 期 支持 、 测 试 、 脆 弱 性 评定 ,TCB 安全 管理 。 

由 于 GB 17859-1999 是 基于 TCSEC 提出 的 ,虽然 在 GA/T 389-2002 中 融入 了 新 的 CC 
中 的 安全 要 求 组 件 , 但 是 如 何 保证 这 样 的 安全 要 求 集 是 否 完备 、 能 否 通过 统一 的 分 级 满足 多 
元 化 的 用 户 功 能 需求 ,以 及 如 何 保 证 评估 体系 的 逻辑 一 致 性 ,仍然 是 需要 充分 实践 检验 和 
认识 的 问题 。 
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7.10 小 结 


数据 库 的 安全 性 是 指 保护 数据 库 以 防止 不 合法 的 使 用 所 造成 的 数据 泄露 .更改 或 破坏 。 
数据 库 系 统 安全 成 为 人 们 关注 的 焦点 ,任何 系统 的 安全 保护 措施 都 不 是 完美 无 缺 的 ,蓄意 盗 
窃 、 破 坏 数据 的 人 总 是 想方设法 打破 控制 。 而 数据 库 系 统 面临 的 威胁 可 能 是 内 部 人 员 破 坏 
和 外 部 的 非法 入 侵 , 如 何 保障 数据 库 系 统 的 安全 更 加 具有 挑战 性 。 

本 章 对 数据 库 的 安全 性 进行 总 体 介 绍 ,包括 数据 库 安全 的 定义 .数据库 安全 研究 的 发 展 
历史 和 研究 现状 等 ; 详细 介绍 数据 库 系 统 的 身份 认证 技术 ,包括 数据 库 中 身份 认证 的 概念 
和 必要 性 、 身 份 认证 技术 在 数据 库 系 统 中 的 应 用 方法 等 内 容 ; 数据 库 系统 访问 控制 技术 , 包 
括 关系 型 数据 库 的 自主 访问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 技术 ,以 及 数据 库 新 
型 访问 控制 技术 ; 数据 库 系统 安全 审计 技术 ,包括 数据 库 安全 审计 的 概念 和 必要 性 、 数 据 库 
安全 审计 的 实施 方法 ; 数据 库 系统 的 备份 与 恢复 技术 ; 数据 库 的 存储 和 传输 加 密 技术 。 最 
后 以 Oracle 为 例 介绍 数据 库 系 统 中 的 高 级 安全 技术 。 

通过 本 章 内 容 的 学 习 , 读 者 可 以 深入 了 解数 据 安 全 的 发 展 历史 、 研 究 现状 和 面临 的 安全 
威胁 ,掌握 身份 认证 .授权 与 访问 控制 .安全 审计 、 备 份 与 恢复 .加 密 等 常用 的 数据 库 安 全 防 
护 技术 。 








习 题 
一 、 填空 题 
1. 数据 库 安全 的 层次 模型 包括 和 : 
2. 关系 数据 库 管理 系统 主要 采用 和 三 种 授权 访问 控制 
模型 。 
Be 是 收集 和 记录 与 系统 安全 有 关 活 动 的 基础 上 ,对 其 进行 分 析 处 理 \ 评 估 审 


查 , 查 找 系统 的 安全 隐患 ,对 系统 安全 进行 审核 ,稽查 和 计算 ,追查 造成 安全 事故 的 原因 ,并 
做 出 进一步 的 处 理 。 
4. 传统 的 数据 库 加 密 技术 包括 g 和 
5. 备份 一 个 Oracle 数据 库 有 三 种 标准 方式 ,分 别 是 和 
6. 数据 库 加 密 / 解 密 的 执行 层次 总 体 上 分 为 两 种 ,分 别 是 和 
7. SQL Server 采用 的 身份 认证 模式 有 和 
二 、 选 择 题 
1. 数据 库 中 用 户 对 数据 的 任何 访问 必须 经 过 授权 , 且 这 样 的 授权 必须 符合 某 种 既定 规 
则 ,这 就 是 所 谓 的 ( i's 
A. 身份 认证 B. 授权 访问 控制 ”C. 安全 审计 D. 备份 恢复 
2. 一 个 数据 库 审计 系统 的 简单 模型 包括 两 个 部 分 : 审计 数据 采集 器 和 ( 本 
A. 审计 数据 记录 器 B. 审计 数据 保护 器 
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C. 审计 数据 分 析 器 D. 审计 数据 备份 器 
3. 备份 和 恢复 是 两 个 互相 联系 的 概念 ,人 ) 是 将 数据 信息 保存 起 来 ; 而 ( ) 则 是 
当 意 外 事件 发 生 或 者 有 某 种 需求 时 ,将 已 备份 的 数据 信息 还 原 到 数据 库 系 统 中 。 
A. 存储 B. 备份 C. 宛 余 D. 恢复 
4. 是 一 种 重要 的 信息 安全 技术 , 它 通 过 某 种 加 密 算法 将 明文 数据 变换 成 只 有 
经 过 解密 才 可 读 的 密 文 数据 ,使 未 经 授权 的 访问 即使 得 到 密 文 数据 也 不 能 解读 其 信息 。 
A. 数据 库 备份 恢复 B. 数据 库 安 全 审计 
C. 数据 库 加 密 D. 数据 库 身 份 认 证 
三 、 简 答题 
1. 试 述 数据 库 身份 认证 的 概念 和 常用 的 身份 认证 方法 。 
2. 试 述 数据 库 安 全 审计 的 流程 。 
3. Oracle 数据 库 备 份 的 基本 原则 是 什么 ? 
4. 数据 库 安全 机 制 有 哪些 ? 
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随 着 网 络 和 信息 技术 的 发 展 ,信息 系统 的 安全 性 变 得 越 来 越 重 要 。 面 对 一 个 信息 系统 ， 
用 户 的 首要 担忧 是 : 这 个 系统 安全 吗 ? 所 以 ,计算 机 系统 的 提供 者 需要 对 产品 的 安全 特性 
进行 说 明 ,而 用 户 则 需要 验证 这 些 安全 特性 的 可 靠 性 。 然 而 ,普通 的 用 户 难以 对 产品 的 安全 
性 进行 准确 和 充分 的 验证 ,难以 判断 系统 提供 者 所 提供 的 安全 特性 的 有 效 性 。 因 此 ,由 独立 
安全 专家 对 计算 机 安全 进行 第 三 方 评价 是 非常 必要 的 。 国 际 上 有 多 种 对 计算 机 信息 系统 的 
安全 性 进行 评估 的 标准 体系 ,这 些 评价 标准 能 够 准确 地 表达 信息 系统 的 安全 性 要 求 以 及 评 
价 信息 系统 安全 性 的 方法 和 准则 ,其 内 容 和 发 展 深刻 反映 了 对 信息 安全 问题 的 认识 程度 。 
了 解 其 状况 和 发 展 对 信息 安全 技术 的 研究 十 分 重要 ,也 是 开发 和 评测 各 种 信息 安全 技术 的 
依据 。 同 时 ,为 了 保障 我 国 重要 网 络 和 系统 的 安全 ,确立 了 以 等 级 保护 制度 为 核心 的 信息 安 
全 保障 体系 。 

本 章 8. 1 节 介 绍 了 信息 安全 评价 标准 的 发 展 历史 ,8. 2 节 、8. 3 节 介 绍 了 在 国际 上 有 影 
响 力 的 两 个 信息 安全 评估 标准 TCSEC 和 CC 标准 ,8.4 节 重 点 介绍 了 我 国 的 信息 系统 安全 
评估 标准 ,8. 5 节 介绍 了 我 国 的 信息 安全 等 级 保护 制度 ,重点 介绍 了 信息 系统 等 级 划分 的 依 
据 、 等 级 保护 工作 的 主要 环节 。 


8.1 信息 安全 评价 标准 的 发 展 


世界 各 国 对 信息 安全 评价 标准 的 研究 可 以 追溯 到 20 世纪 60 年 代 后 期 ,1967 年 美国 
国防 部 (DoD) 发 布 了 Defense ScienceBoard Report, 对 当时 计算 机 环境 中 的 安全 策略 进行 
了 分 析 ; 20 世纪 70 年 代 后 期 ,开始 对 当时 流行 的 操作 系统 进行 安全 方面 的 研究 。1983 
年 美国 国防 部 发 布 了 “可 信 计 算 机 系统 评价 标准 (Trusted Computer System Evaluation 
Criteria,TCSEC)”, 由 于 它 使 用 了 橘 色 书 皮 , 所 以 通常 称 为 橘 皮 书 。TCSEC 是 在 20 世纪 
70 年 代 的 基础 理论 研究 成 果 Bell&La Padula 模型 的 基础 上 提出 的 ,其 初衷 是 针对 操作 系 
统 的 安全 性 进行 评估 ,后 来 美国 国防 部 在 国家 计算 机 安全 中 心 的 主持 下 制定 了 一 系列 相 
关 准 则 ,例如 ,可 信任 数据 库 解释 (Trusted Database Interpretation) 和 可 信任 网 络 解 释 
(Trusted Network Interpretation) 。 由 于 每 本 书 使 用 了 不 同 颜色 的 书 皮 ,人 们 将 它们 称 为 
彩虹 系列 。 在 1985 年 ,TCSEC 再 次 修改 后 发 布 ,一 直 沿 用 至 今 。TCSEC 将 信息 安全 等 
级 分 为 4 类 ,从 低 到 高 分 别 为 D.C、B、A, 每 类 中 又 细 分 为 多 个 等 级 。“ 可 信 ” 即 可 信赖 , 安 
全 可 靠 ,该 标准 使 用 户 能 够 对 计算 机 系统 内 敏感 信息 操作 的 可 信 程 度 做 出 评估 ,同时 给 
计算 机 行业 的 制造 商 提供 一 种 可 循 的 指导 规则 ,使 其 产品 能 够 更 好 地 满足 敏感 应 用 的 安 
全 需求 。 

TCSEC 最 初 只 是 军用 标准 ,后 来 延至 民用 领域 , 它 是 计算 机 系统 安全 评估 的 第 一 个 正 
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式 标准 ,具有 划时代 的 意义 。TCSEC 最 主要 的 不 足 是 其 仅 针 对 操作 系统 进行 评估 而 且 只 考 
虑 了 保密 性 需求 ,但 它 极 大 地 推动 了 国际 计算 机 安全 的 评估 研究 ,德国 ,英国 等 纷纷 制定 了 
各 自 的 计算 机 系统 评价 标准 。 

但 欧 共 体 认 为 评估 标准 的 多 样 性 有 违 欧 共 体 的 一 体 化 进程 ,也 不 利于 各 国 对 评估 结 
果 的 互 认 ,于 是 德国 信息 安全 局 在 1990 年 发 出 号 召 ,与 英 、 法 、 荷 四 国 一 起 迈 开 了 联合 制 
定 评估 标准 的 步伐 ,最 终 推出 了 “信息 技术 安全 评估 标准 ”, 简 称 ITSEC, 又 称 欧洲 白 皮 
书 。 除了 吸取 TCSEC 的 成 功 经 验 外 ,ITSEC 首次 提出 了 信息 安全 的 保密 性 、 完 整 性 、 可 
用 性 的 概念 ,他 们 的 工作 成 为 欧 共 体 信息 安全 计划 的 基础 ,并 对 国际 信息 安全 的 研究 实 
施 带 来 了 深刻 的 影响 。ITSEC 也 定义 了 7 个 安全 级 别 , 即 E6 形式 化 验证 、E5 形式 化 分 
析 、E4 半 形 式 化 分 析 、E3 数字 化 测试 分 析 、E2 数字 化 测试 .El 功能 测试 、E0 不 能 充分 满 
足 保证 。 

加 拿 大 也 在 同期 制定 了 “加 拿 大 计算 机 产品 评估 准则 ?的 第 一 版 , 称 为 CTCPEC ,其 第 
三 版 于 1993 年 公布 ,CTCPEC 吸取 了 ITSEC 和 TCSEC 的 长 处 ,并 将 安全 清晰 地 分 为 功能 
性 要 求 和 保证 性 要 求 两 部 分 。 

上 述 两 种 安全 性 测评 准则 不 仅 包含 了 对 计算 机 操作 系统 的 评估 ,还 包含 了 现代 信息 网 
络 系统 所 包含 的 通信 网络 和 数据 库 方面 的 安全 性 评估 准则 。 

美国 政府 在 此 期 间 并 没有 停止 对 评估 准则 的 研究 ,于 1993 年 公开 发 布 了 联邦 准则 的 
1.0 版 草案 ,简称 FC。 在 FC 中 首次 引入 了 ”保护 轮廓 (PP) ”的 重要 概念 ,每 一 保护 轮廓 都 
包括 功能 部 分 、 开 发 保证 部 分 和 测评 部 分 ,其 分 级 方式 与 TCSEC 不 同 , 充 分 吸取 了 ITSEC、 
CTCPEC 的 优点 , 供 民 用 以 及 政府 、 商 业 使 用 。 

总 的 来 说 ,这 一 阶段 的 安全 性 评估 准则 不 仅 全 面包 含 了 现代 信息 网 络 系统 的 整体 安全 
性 ,而 且 内 容 也 有 了 很 大 的 扩展 ,不 再 局 限于 安全 功能 要 求 ,还 增加 了 开发 保证 要 求 和 评估 
分析、 测试) 要 求 ,但 这 些 标准 分 散 于 各 国 ,度量 标 准 也 不 尽 相 同 ,客观 上 阻碍 了 信息 安全 保 
障 的 国际 合作 和 交流 ,统一 的 安全 评估 准则 呼之欲出 。 

为 了 能 集中 世界 各 国安 全 评估 准则 的 优点 ,集合 成 单一 的 、 能 被 广泛 接受 的 信息 技术 评 
估 准 则 ,国际 标准 化 组 织 在 1990 年 就 着 手 编写 国际 性 评估 准则 ,但 由 于 任务 庞大 以 及 协调 
困难 ,该 工作 一 度 进 展 缓慢 。 直 到 1993 年 6 月 ,在 6 国 7 方 ( 英 、 加 、 法 、 德 . 荷 .美国 国家 安 
全 局 以 及 国家 标准 技术 研究 所 ) 的 合作 下 ,前 述 的 几 个 评估 准则 终于 走 到 了 一 起 ,形成 了 《 信 
息 技 术 安全 通用 评估 准则 》, 简 称 CC。CC 的 0. 9 版 于 1994 年 问世 ,而 1.0 版 则 于 1996 年 
出 版 。1997 年 ,有 关 方 面 提交 了 CC 2. 0 版 的 草案 版 ,1998 年 正式 发 行 ,1999 年 发 行 了 现在 
的 CC 2.1 版 ,后 者 于 1999 年 12 月 被 ISO 批准 为 国际 标准 ,编号 ISO/IEC 15408( 注 : 本 文 
以 下 以 CC 指 代 ISOVIEC 15408) ,至 此 国际 上 统一 度量 安全 性 的 评估 准则 宣告 形成 。CC 
吸收 了 各 先进 国家 对 现代 信息 系统 安全 的 经 验 和 知识 ,为 信息 安全 的 研究 与 应 用 带 来 了 深 
刻 影响 。 信 息 安全 评价 标准 的 发 展 历史 如 图 8. 1 所 示 。 

CC 的 评估 等 级 共 分 7 级 , 即 EAL1 到 EAL7, 分 别 为 功能 测试 ,结构 测试 ,系统 测试 和 
检验 ,系统 设计 ,测试 和 评审 , 半 形 式 化 设计 和 测试 , 半 形 式 化 验证 的 设计 和 测试 ,形式 化 验 
证 的 设计 和 测试 。 
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图 8.1 信息 系统 评估 标准 发 展 历史 


8.2 可 信 计 算 机 系统 评价 标准 


8.2.1 TCSEC 的 主要 概念 


在 TCSEC 中 提出 了 以 下 主要 概念 ,以 描述 计算 机 系统 的 安全 问题 。 

(1) 安全 性 。 包 括 安全 策略 、 策 略 模型 安全 服务 和 安全 机 制 等 内 容 ,其 中 安全 策略 是 
为 了 实现 软件 系统 的 安全 而 制定 的 有 关 管 理 \ 保 护 和 发 布 敏感 信息 的 规定 与 实施 细则 ; 策 
略 模型 是 指 实施 安全 策略 的 模型 ; 安全 服务 是 指 根 据 安全 策略 和 安全 模型 提供 的 安全 方面 
的 服务 ; 安全 机 制 是 实现 安全 服务 的 方法 。 

(2) 可 信 计 算 基 (Trusted Computing Base,TCB)。TCB 是 软件 ,硬件 与 固件 的 有 机 集 
合 , 它 根据 访问 控制 策略 处 理 主体 集合 对 客体 集合 的 访问 ,TCB 中 包含 了 所 有 与 系统 安全 
有 关 的 功能 。 

(3) 主体 (Subject)。 计 算 机 系统 的 主动 访问 者 ,如 用 户 、 代 表 用 户 运 行 的 程序 等 。 

(4) 客体 (Object) 。 被 访问 或 被 使 用 的 对 象 , 如 文件 ,内存 ,管道 等 。 

(5) 自主 访问 控制 (Discretionary Access Control,DAC) 。DAC 是 指 资源 的 所 有 者 ( 即 
属 主 ) 可 以 自主 地 确定 其 他 用 户 对 其 资源 的 访问 权 。 具 有 某 类 权限 的 主体 能 够 将 其 对 某 
资源 (客体 ) 的 访问 权 直接 或 间接 地 按照 需要 动态 地 转让 给 其 他 主体 或 回收 转让 给 其 他 
主体 。 

(6) 强制 访问 权限 (Mandatory Access Control, MAC)。MAC 是 比 自主 访问 控制 更 为 
严格 的 一 种 访问 控制 方式 。 在 这 种 访问 方式 中 ,客体 的 访问 权限 不 能 由 客体 的 拥有 者 确定 ， 
而 是 由 系统 管理 者 强制 规定 的 。 系 统管 理 者 为 主体 与 客体 规定 安全 属性 (安全 级 别 、 权 限 
等 ) ,系统 安全 机 制 严 格 按照 主体 与 客体 的 安全 属性 控制 主体 对 客体 的 访问 ,对 于 系统 管理 
员 确 定 的 安全 属性 ,任何 主体 都 不 能 修改 和 转让 。 

(7) 审计 (Audit) 。 记 录 与 系统 安全 相关 的 事件 :以便 对 影响 系统 安全 的 活动 进行 追 
踪 ,确定 责任 者 。 

(8) 隐蔽 信道 。 指 一 个 进程 利用 违反 系统 安全 的 方式 传输 信息 。 有 两 类 隐蔽 信道 ,分 
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别 是 存储 信道 与 时 钟 信道 。 存 储 信道 是 一 个 进程 通过 存储 介质 向 另 一 个 进程 直接 或 间接 传 
递 信息 的 信道 ; 时 钟 信道 是 指 一 个 进程 通过 执行 与 时 钟 有 关 的 操作 把 不 能 泄露 的 信息 传递 
给 另 一 个 进程 的 通信 信道 ,例如 ,一 个 文件 的 读 写 属性 位 可 以 成 为 隐藏 存储 信道 ,而 按 某 种 
频率 创建 与 删除 一 个 文件 可 以 形成 一 个 时 钟 隐蔽 信道 。 

(9) 客体 重用 : 在 计算 机 信息 系统 可 信 计 算 机 TCB 的 空闲 存储 客体 空间 中 ,对 客体 初 
始 指定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 
已 被 释放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 


8.2.2 TCSEC 的 安全 等 级 


TCSEC 将 可 信 计 算 机 系统 的 评价 规则 划分 为 4 类 , 即 安全 策略 、 可 记 账 性 、 安 全 保证 措 
施 和 文档 。 

安全 策略 包括 自主 访问 控制 .客体 重用 、 标 记 、 标 记 完 整 性 .标记 信息 的 扩散 主体 敏感 
度 标 记 、 设 备 标记 、 强 制 访 问 控制 等 规则 ; 可 记 账 性 包括 标识 与 认证 、 可 信 路 径 、 审 计 等 规 
则 ; 安全 保证 措施 包括 系统 体系 结构 .系统 完整 性 .隐蔽 信道 分 析 、 可 信 设 施 管理 .可 信 恢 
复 .生命 周期 保证 、 安 全 测试 .设计 规范 和 验证 ,配置 管理 .可 信和 分配 等 规则 ; 文档 包括 安全 
特性 用 户 指南 .可 信 设 施 手册 测试 文档 .设计 文档 等 规则 。 

根据 计算 机 系统 对 上 述 各 项 指标 的 支持 情况 及 安全 性 相近 的 特点 ,TCSEC 将 系统 划分 
为 4 类 (Division)7 个 等 级 ,依次 是 D.C(Cl1、C2)、B(B1、B2、B3)、A(A1l1), 按 系统 可 靠 或 可 
信 程度 逐渐 增高 ,如 表 8. 1 所 示 。 


表 8.1 TCSEC 安全 级 别 划分 





























等 级 分 类 安全 级 别 定 义 
A 类 : 验证 保护 类 Al 验证 设计 (Verified Design) 
B3 安全 域 (Security Domain) 
B 类 : 强制 保护 类 B2 结构 化 保护 (Structural Protection) 
Bl 标记 安全 保护 (Labeled Security Protection) 
C2 受 控 的 存 取保 护 (Controlled Access Protection) 
C 类 :自主 保护 类 Cl 自主 安全 保护 (Discretionary Security Protection) 
DD 类 : 最 低 保护 类 D 最 小 保护 (Minimal Protection) 


在 TCSEC 中 建立 的 安全 级 别 之 间 具 有 一 种 偏 序 向 下 的 兼容 关系 , 即 较 高 安全 级 别提 
供 的 安全 保护 要 包含 较 低 级 别 的 所 有 保护 要 求 , 同 时 提供 更 多 或 更 完善 的 保护 能 力 。 

1. D 最 低 保护 类 

D 级 是 最 低 保 护 级 。 将 一 切 不 符合 更 高 标准 的 系统 ,通通 归于 D 级 ,如 DOS 操作 系 
统 , 它 具 有 操作 系统 的 基本 功能 ,如 文件 系统 、 进 程 调度 等 ,但 在 安全 性 方面 几乎 没有 什么 专 
门 的 机 制 来 保障 ,是 D 级 系统 的 典型 例子 。 

2. C 自主 保护 类 

该 类 的 安全 特征 是 系统 的 客体 (如 文件 、 目 录 等 ) 可 由 其 主体 (如 系统 管理 员 、 用 户 等 ) 定 
义 访问 权限 ,自主 保护 类 依据 安全 从 低 到 高 又 分 为 C1、C2 两 个 安全 等 级 。 
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1) C1l 自主 安全 保护 级 

只 提供 了 非常 初级 的 自主 安全 保护 ,可 对 用 户 按 组 实施 授权 ,如 UNIX 系统 中 的 
/owner/group/other 存 取 控制 机 制 ; 能 够 实现 对 用 户 和 数据 的 分 离 , 进 行 自主 访问 控制 
(DAC) ,保护 或 限制 用 户 权限 的 传播 。 

Cl 级 系统 是 针对 多 个 协作 用 户 在 同一 敏感 级 别 上 处 理 数据 的 工作 环境 ,其 最 主要 的 特 
点 是 把 用 户 与 数据 隔离 ,提供 自主 访问 控制 功能 ,使 用 户 可 以 对 自己 的 资源 自主 地 确定 何 时 
使 用 或 不 使 用 控制 ,以 及 允许 哪些 主体 或 组 进行 访问 。 通 过 用 户 拥 有 者 的 自主 定义 和 控制 ， 
可 以 防止 自己 的 数据 被 别 的 用 户 有 意 或 无 意 地 算 改 \ 干 涉 或 破坏 。 该 安全 级 要 求 在 进行 任 
何 活动 之 前 ,通过 TCB 去 确认 用 户 身 份 ( 如 口令 ) ,并 保护 确认 数据 ,以 免 未 经 授权 对 确认 数 
据 的 访问 和 修改 。 这 类 系统 在 硬件 上 必须 提供 某 种 程度 的 保护 机 制 ,使 之 不 易 受到 损害 ; 
用 户 必 须 在 系统 注册 建立 账户 并 利用 通行 证 让 系统 能 够 识别 他 们 。C1 级 要 求 较 严 格 的 测 
试 ,以 检测 该 类 系统 是 否 实现 了 设计 文档 上 说 明 的 安全 要 求 。 另 外 还 要 进行 攻击 性 测试 ,以 
保证 不 存在 明显 的 漏洞 让 非法 用 户 攻破 而 绕 过 系统 的 安全 机 制 进 入 系统 。 另 外 ,Cl 级 系统 
要 求 完 善 的 文档 资料 。 

2) C2 受 控 的 存 取保 护 级 

C2 安全 级 具有 以 用 户 为 单位 的 DAC 机 制 ,即将 Cl 级 的 DAC 进一步 细 化 ,保护 粒度 
要 达到 单个 用 户 和 单个 客体 一 级 ; C2 级 增加 了 审计 功能 ,审计 粒度 必须 能 够 跟踪 每 个 主体 
对 每 个 客体 的 每 一 次 访问 ,审计 功能 是 C2 较 Cl 新 增加 的 安全 要 求 ; C2 级 还 提供 客体 重用 
功能 , 即 要 求 在 一 个 进程 运行 结束 后 ,要 消除 该 过 程 残留 在 内 存 、 外 存 和 寄存 器 中 的 信息 ,在 
另 一 个 用 户 过 程 运行 之 前 必须 清除 或 覆盖 这 些 客体 的 残留 信息 ; C2 级 实施 用 户 登 录 过 程 ， 
对 用 户 身 份 进行 验证 ; C2 级 实现 资源 隔离 。C2 系统 的 TCB 必须 保存 在 特定 区 域 中 ,以 防 
止 外 部 人 员 的 算 改 。 

达到 C2 级 的 产品 在 其 名 称 中 往往 不 突出 “安全 ”(Security) 这 一 特色 ,很 多 商业 产品 已 
得 到 该 级 别 的 认证 ,如 操作 系统 中 Microsoft 的 Windows NT 3.5、 数 字 设 备 公司 的 Open 
VMS VAX 6.0 和 6.1, 数 据 库 产品 中 Oracle 公司 的 Oracle 7、Sybase 公司 的 SQL Server 
型 ,06 等: 

3. B 强制 保护 类 

该 类 的 安全 特点 在 于 由 系统 强制 的 安全 保护 ,在 强制 保护 模式 中 ,每 个 系统 对 象 (如 文 
件 、 目 录 等 资源 ) 及 主体 (如 系统 管理 员 用户、 应 用 程序 等 ) 都 有 自己 的 安全 标签 ,系统 依据 
主体 和 对 象 的 安全 标签 赋予 它 对 访问 对 象 的 存 取 权限 。 强 制 保护 类 依据 安全 从 低 到 高 又 分 
为 B1、B2、B3 三 个 安全 等 级 。 

1) Bl 标记 安全 保护 级 

Bl1 在 C2 级 的 基础 上 增加 了 或 加 强 了 标记 、 强 制 访问 控制 审计、 可 记 账 性 和 保障 等 功 
能 ,在 Bl 级 中 标记 起 着 重要 的 作用 ,是 强制 访问 控制 实施 的 依据 。 每 个 主体 和 存储 客体 有 
关 的 标记 都 要 由 TCB 维护 ,不 允许 客体 的 拥有 者 改变 其 存 取 权限 。 

Bl 级 能 够 较 好 地 满足 大 型 企业 或 一 般 政府 部 门 对 数据 的 安全 需求 ,这 一 级 别 的 产品 才 
能 认为 是 真正 意义 上 的 安全 产品 。 满 足 此 级 别 的 产品 前 一 般 多 冠 以 “安全 "或 “可 信和 ”字样 ， 
作为 区 别 于 普通 产品 的 安全 产品 出 售 。 例 如 ,操作 系统 方面 ,典型 的 有 数字 设备 公司 的 
SEVMS VAX 6.0、 惠 普 公 司 的 HP-UX BLS release 9. 0.9 十 ; 数据 库 方面 则 有 Oracle 公司 
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的 Trusted Oracle 7、Sybase 公司 的 Secure SQL Server 11. 0. 6、Informix 公司 的 Incorported 
INFORMIX-Online/Secure 5.0 等 。 

2) B2 结构 化 保护 级 

B2 系统 的 设计 中 把 系统 内 部 结构 化 地 划分 成 明确 而 大 体 上 独立 的 模块 ,并 采用 最 小 
特权 原则 进行 管理 。B2 级 不 仅 要 求 对 所 有 对 象 加 标记 ,而 且 要 求 给 设备 (磁盘 或 终端 ) 分 
配 一 个 或 多 个 安全 级 别 ( 实 现 设 备 标 记 )。 必 须 对 所 有 的 主体 和 客体 (包括 设备 ) 实 施 强 
制 性 访问 控制 保护 ,必须 要 有 专职 人 员 负 责 实 施 访问 控制 策略 ,其 他 用 户 无 权 管 理 。 通 过 
建立 形式 化 的 安全 策略 模型 并 对 系统 内 的 所 有 主体 和 客体 实施 自主 访问 控制 和 强制 访问 
控制 。 

B2 级 较 Bl 级 有 一 项 更 强 的 设计 要 求 ,B2 级 系统 的 设计 与 实现 必须 经 得 起 更 彻底 的 测 
试 和 审查 ,必须 给 出 可 验证 的 顶级 设计 (Top-Level Design) ,并 且 通 过 测试 确保 该 系统 能 够 
实现 这 一 设计 。 还 需要 对 隐蔽 信道 进行 分 析 , 确 保 系 统 不 存在 各 种 安全 漏洞 。 实 现 中 必须 
为 安全 系统 自身 的 执行 维护 一 个 保护 域 ,必须 确保 该 域 的 安全 性 不 受 外 界 的 破坏 ,进而 保护 
整个 系统 的 目标 代码 和 数据 的 完整 性 不 受 外 界 破坏 。 

目前 ,经 过 认证 的 B2 级 以 上 的 安全 系统 非常 稀少 。 例 如 ,符合 B2 级 的 操作 系统 只 有 
Trusted Information Systems 公司 的 Trusted XENIX 一 种 产品 ,符合 B2 标准 的 网 络 产 品 
只 有 Cryptex Secure Communications 公司 的 LLC VSLAN 一 种 产品 ,而 数据 库 方面 则 没有 
符合 B2 标准 的 产品 。 

3) B3 安全 域 保护 级 

B3 级 的 TCB 必须 满足 访问 监控 器 的 要 求 , 审 计 跟 踪 能 力 更 强 , 并 提供 系统 恢复 过 程 。 
B3 安全 级 要 求 系统 有 主体 /客体 的 区 域 , 有 能 力 实 现 对 每 个 目标 的 访问 控制 ,使 每 次 访问 都 
受到 检查 。 用 户 程序 或 操作 被 限定 在 某 个 安全 域内 ,安全 域 间 的 访问 受到 严格 控制 。 这 类 
系统 通常 采用 硬件 设施 来 加 强 安全 域 的 安全 ,例如 内 存 管理 硬件 用 于 保护 安全 域 免 受 无 权 
主体 的 访问 或 防止 其 他 域 的 主体 的 修改 。 该 级 别 要 求 用 户 的 终端 必须 通过 可 信 的 信道 连接 
在 系统 上 。 

为 了 能 够 确实 进行 广泛 而 可 信 的 测试 ,B3 级 系统 的 安全 功能 应 该 是 短小 精 悍 的 。 为 了 
便于 理解 与 实现 ,系统 的 高 级 设计 (High Level Design) 必 须 是 简明 而 完善 的 ,必须 组 合 使 用 
有 效 的 分 层 、 抽 象 和 信息 隐蔽 等 原则 。 所 实现 的 安全 功能 必须 是 高 度 防 突破 的 ,系统 的 审计 
功能 能 够 区 分 何 时 能 避免 一 种 破坏 安全 的 活动 。 为 了 使 系统 具备 恢复 能 力 ,B3 级 系统 增加 
了 一 个 安全 策略 。 

(1) 安全 策略 : 采用 访问 控制 列表 进行 控制 ,允许 用 户 指 定 和 控制 对 客体 的 共享 ,也 可 
以 命名 指定 用 户 对 客体 的 访问 方式 。 

(2) 可 记 账 性 : 系统 能 够 监视 安全 审计 事件 的 发 生 与 积累 , 当 超 出 某 个 安全 阅 值 时 ,能 
够 立刻 报警 ,通知 安全 管理 人 员 进 行 处 理 。 

(3) 保障 措施 : 只 能 完成 与 安全 有 关 的 管理 功能 ,对 其 他 完成 非 安 全 功能 的 操作 要 严 
格 限制 。 当 系统 出 现 故 障 与 灾难 性 事件 后 ,要 提供 一 种 过 程 与 机 制 ,保证 在 不 损坏 保护 的 条 
件 下 ,使 系统 得 到 恢复 。 

4. A 验证 保护 类 


Al 安全 级 又 称 为 可 验证 性 设计 保护 级 ,是 橘 皮 书 中 最 高 的 安全 级 别 , 它 的 安全 功能 要 
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求 与 B3 一 致 ,但 是 它 包 含 了 一 个 严格 的 设计 ,控制 和 验证 过 程 , 即 提供 B3 级 保护 的 同时 给 
出 系统 的 形式 化 设计 说 明和 验证 以 确信 各 安全 保护 真正 实现 。 

Al 安全 级 的 设计 要 求 非常 严格 ,达到 这 种 要 求 的 系统 很 少 。 目 前 已 获得 承认 的 此 类 
系统 有 Honeywell 公司 的 SCOMP 系统 。Al 安全 级 标准 是 安全 信息 系统 的 最 高 安全 级 
别 ,一 般 信息 系统 很 难 达 到 这 样 的 安全 能 力 。 


8.2.3 ”TCSEC 的 不 足 


TCSEC 是 第 一 代 的 安全 评估 标准 , 它 有 自身 的 不 足 , 但 这 并 不 意味 着 我 们 可 以 完全 抛 
弃 它 。 目 前 不 止 我 们 国内 ,即使 在 世界 上 也 都 存在 着 对 TCSEC 与 CC 优 劣 的 争论 ,有 很 多 
还 未 达成 一 致 性 的 意见 。 以 下 是 当前 已 得 到 公认 的 对 TCSEC 局 限 性 的 认识 。 

(1) TCSEC 是 针对 建立 无 漏洞 和 非 侵 入 系统 制定 的 分 级 标准 。TCSEC 不 是 基于 时 间 
的 安全 模型 ,而 是 基于 功能 .角色 ,规则 等 空间 与 功能 概念 意义 上 的 安全 模型 。 安 全 概念 仅 
仅 是 为 了 防护 ,对 防护 的 安全 功能 如 何 检查 以 及 检查 出 的 安全 漏洞 又 如 何 弥补 和 反应 等 问 
题 没有 讨论 和 研究 。 

(2) TCSEC 是 针对 单一 计算 机 ,特别 是 针对 小 型 计算 机 和 主机 结构 的 大 型 计算 机 制定 
的 测评 标准 。TCSEC 的 网 络 解释 目前 缺少 成 功 实践 支持 ,尤其 对 于 互联 网 络 和 商用 网 络 很 
少 有 成 功 的 实例 支持 。 

(3) TCSEC 主要 用 于 军事 和 政府 信息 系统 ,对 于 个 人 和 商用 系统 ,采用 这 个 方案 是 有 
困难 的 。 也 就 是 说 其 安全 性 主要 是 针对 保密 性 而 制定 的 ,而 对 完整 性 和 可 用 性 研究 的 不 够 ， 
忽略 了 不 同行 业 的 计算 机 应 用 的 安全 性 的 差别 。 

(4) 安全 的 本 质 之 一 是 管理 ,而 TCSEC 缺少 对 保障 (保证 ) 的 讨论 。 

(5) TCSEC 的 安全 策略 也 是 固定 的 ,缺少 安全 威胁 的 针对 性 ,其 安全 策略 不 能 针对 不 
同 的 安全 威胁 实施 相应 的 组 合 。 

(6) TCSEC 的 安全 概念 脱离 了 对 IT 和 非 IT 环境 的 讨论 ,如 果 不 能 把 安全 功能 与 安全 
环境 相 结合 ,那么 安全 建设 就 是 抽象 的 和 非 实际 的 。 

(7) 美国 NSA 测评 一 个 安全 操作 系统 需要 花 一 、 二 年 以 上 的 时 间 , 这 个 时 间 已 经 超过 
目前 一 代 信息 技术 发 展 的 时 间 ,也 就 是 说 TCSEC 测评 的 可 操作 性 较 差 ,缺少 测评 方法 框架 
和 具体 标准 的 支持 。 


8.3 通用 评估 标准 


美 、 加 、 英 、 法 , 德 . 荷 等 国家 联合 推出 的 “信息 技术 安全 性 通用 评估 准则 ”(Common 
Criteria for Information Technology Security Evaluation,CC) 于 1999 年 7 月 通过 国际 标准 
化 组 织 认 可 ,确立 为 信息 安全 评价 国际 标准 ,其 标准 编号 为 ISO/IEC 15408。CC 标准 提出 
了 “保护 轮廓 ”, 将 评估 过 程 分 为 “功能 "和 * 保 证 ”两 部 分 ,是 目前 系统 安全 认证 方面 最 全 面 也 
是 最 权威 的 标准 。CC 标准 确立 后 ,美国 不 再 受理 以 橙 皮 书 为 尺度 的 新 的 评价 申请 ,之 后 的 
安全 产品 评价 工作 均 按 CC 标准 进行 。 


236 信息 系统 安全 





8.3.1 CC 的 组 成 


CC 分 为 三 个 部 分 ,其 中 第 一 部 分 “简介 和 一 般 模型 ”介绍 了 CC 中 的 有 关 术 语 、 基 本 概 
念 和 一 般 模 型 以 及 与 评估 有 关 的 一 些 框架 ,附录 部 分 主要 介绍 了 保护 轮廓 (PP) 和 安全 目标 
(ST) 的 基本 内 容 。 

第 二 部 分 “安全 功能 要 求 ” 按 “类 - 族 -组 件 ” 的 方式 提出 安全 功能 要 求 ,提供 了 表示 评估 
对 象 (Target Of Evaluation,TOE) 安 全 功能 要 求 的 标准 方法 。TOE 是 指 被 评估 的 信息 技 
术 产 品 、 系 统 或 子 系统 ,如 防火 墙 计 算 机 网 络 系统 、 密 码 模 块 ,以 及 相关 的 用 户 指南 和 设计 
方案 等 。 除 正文 以 外 ,每 一 个 类 还 有 对 应 的 提示 性 附录 作 进 一 步 的 解释 。 

在 CC 标准 中 ,安全 要 求 (包括 安全 功能 要 求 和 安全 保证 要 求 ) 均 以 “类 - 族 -组 件 ” 的 形 
式 进行 定义 。 首 先 ,对 安全 需求 的 全 集 , 根 据 不 同 的 侧重 点 ,划分 成 若干 大 组 ,每 个 大 组 
就 称 为 一 个 类 。 每 个 类 的 安全 需求 ,根据 不 同 的 安全 目标 ,又 划分 成 若干 小 组 ,每 个 小 组 
就 称 为 一 个 族 。 每 个 族 的 安全 需求 ,根据 不 同 的 安全 强度 或 能 力 ,再 进一步 划分 成 更 小 
的 组 ,每 一 个 这 样 的 更 小 的 组 用 一 个 组 件 来 表示 。 这 样 ,安全 需求 由 类 构成 ,类 由 族 构 
成 , 族 由 组 件 构成 。 组 件 是 CC 标准 中 最 小 的 可 选 安全 需求 集 ,是 安全 需求 的 具体 表现 
形式 。 

例如 ,身份 识别 和 认证 方面 的 需求 归 为 一 个 类 ,这 个 类 中 ,身份 识别 方面 的 需求 归 为 一 
个 族 ; 这 个 族 中 , 缓 时 识别 方面 的 需求 构成 一 个 组 件 ; 所 谓 缓 时 识别 是 指 允 许 用 户 在 身份 
识别 前 执行 适当 的 操作 。 

CC 标准 定义 了 11 个 公认 的 安全 功能 需求 类 , 即 安全 审计 类 ,通信 类 密码 支持 类 、 用 户 
数据 保护 类 、 身 份 识别 与 认证 类 ,安全 管理 类 、 隐 私 类 ,安全 功能 件 保护 类 ,资源 使 用 类 、 评 估 
目标 访问 类 和 可 信 路 径 / 通 道 类 。 

安全 审计 类 涉及 与 安全 有 关 的 操作 信息 的 识别 、 记 录 、 存 储 和 分 析 等 方面 的 需求 ; 通信 
类 涉及 数据 交换 双方 的 身份 确保 等 方面 的 需求 ,包括 收 、 发 双方 的 防 抵 赖 等 ; 密码 支持 类 涉 
及 密 钥 管 理 和 加 密 操 作 等 方面 的 需求 ; 用 户 数据 保护 类 涉及 对 用 户 数据 进行 保护 的 安全 功 
能 和 安全 策略 等 方面 的 需求 ; 身份 识别 与 认证 类 涉及 证 实用 户 身 份 和 确立 安全 属性 等 方面 
的 需求 ; 安全 管理 类 涉及 对 产品 的 安全 功能 件 中 的 属性 ,数据 和 功能 等 进行 管理 方面 的 需 
求 ; 隐私 类 涉及 确保 用 户 身份 的 隐蔽 性 和 防止 用 户 身 份 被 盗用 等 方面 的 需求 ; 安全 功能 件 
保护 类 涉及 确保 安全 功能 件 中 的 有 关机 制 和 数据 的 完整 性 等 方面 的 需求 ; 资源 使 用 类 涉及 
对 需要 访问 的 资源 的 可 用 性 给 以 支持 等 方面 的 需求 ; 评估 目标 访问 类 涉及 对 用 户 和 安全 产 
品 会 话 过 程 的 建立 进行 控制 等 方面 的 需求 ; 可 信和 路 径 / 通 道 类 涉及 在 用 户 与 安全 功能 件 之 
间 建 立 可 信 通 信 路 径 、 在 安全 功能 件 与 其 他 可 信 IT 产品 之 间 建 立 可 信 通 信和 通道 等 方面 的 

第 三 部 分 “安全 保证 要 求 " 定 义 了 评估 保证 级 别 ,建立 了 一 系列 安全 保证 组 件 作 为 表示 
TOE 保证 要 求 的 标准 方法 。 第 三 部 分 列 出 了 一 系列 保证 组 件 、. 族 和 类 ,还 定义 了 PP 和 ST 
的 评估 准则 ,并 提出 了 评估 保证 级 别 。 

CC 标准 定义 了 7 个 公认 的 安全 保证 需求 类 , 即 构造 管理 类 发行 与 使 用 类 、 开 发 类 、 指 
南 文档 类 、 生 命 周 期 支持 类 ,测试 类 和 脆弱 性 评估 类 。 
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构造 管理 类 涉及 确保 产品 的 功能 需求 和 规格 说 明 在 最 终 的 安全 产品 中 得 以 实现 方面 的 
需求 。 发 行 与 使 用 类 涉及 安全 产品 的 正确 发 行 、 安 装 、 生 成 和 投入 运行 等 方面 的 需求 。 开 发 
类 涉及 三 方面 的 需求 : 一 是 安全 功能 件 在 不 同 抽象 层次 上 的 表示 ,二 是 不 同 抽象 层次 上 的 
安全 功能 件 表示 之 间 的 一 致 性 ,三 是 安全 策略 模型 的 建立 及 安全 策略 、 安 全 策略 模型 与 功能 
描述 之 间 的 一 致 性 。 指 南 文档 类 涉及 产品 的 用 户 指南 .管理 员 指南 等 文档 资料 方面 的 需求 。 
生命 周期 支持 类 涉及 产品 的 开发 ,维护 过 程 中 有 关 开发 、 维 护 模式 以 及 安全 措施 等 方面 的 需 
求 。 测 试 类 涉及 产品 测试 方面 的 需求 。 脆 弱 性 评估 类 涉及 对 产品 可 能 存在 的 脆弱 性 (如 隐 
通道 等 ) 进 行 分 析 等 方面 的 需求 。 

CC 的 三 个 部 分 相互 依存 , 缺 一 不 可 。 其 中 第 一 部 分 介绍 CC 的 基本 概念 和 基本 原理 ， 
第 二 部 分 提出 了 技术 要 求 , 第 三 部 分 提出 了 非 技 术 要 求 和 对 开发 过 程 、 工 程 过 程 的 要 求 。 这 
三 部 分 的 有 机 结合 具体 体现 在 PP 和 ST 中 ,PP 和 ST 的 概念 和 原理 在 第 一 部 分 介绍 , PP 
和 ST 中 的 安全 功能 要 求 和 安全 保证 要 求 在 第 二 ,第 三 部 分 选取 ,这 些 安全 要 求 的 完备 性 和 
一 致 性 由 第 二 、 第 三 两 个 部 分 来 保证 。 


8.3.2 需求 定义 的 用 法 


安全 需求 定义 中 的 类 和 族 反 映 的 是 分 类 方法 ,具体 的 安全 需求 由 组 件 体现 ,选择 一 个 需 
求 组 件 等 同 于 选择 一 项 安全 需求 。CC 标准 鼓励 人 们 尽 可 能 选用 该 标准 中 已 定义 的 安全 需 
求 组 件 , 也 允许 人 们 自行 定义 其 他 必要 的 安全 需求 组 件 。 每 个 安全 需求 组 件 表示 的 是 某 项 
具体 的 安全 需求 。 通 常 ,一 个 安全 产品 总 是 融 多 项 安全 需求 于 一 身 , 需 要 用 多 个 需求 组 件 以 
一 定 的 组 织 方式 组 合 起 来 进行 表示 。CC 标准 定义 了 三 种 类 型 的 用 于 描述 产品 安全 需求 的 
组 织 结构 , 即 “安全 组 件 包 ”“ 保 护 轮廓 定义 书 (PP)” 和 “安全 对 象 定义 书 (ST)”, 安 全 需求 组 
件 可 以 在 这 三 种 类 型 的 组 织 结构 中 得 到 使 用 。 

1. 安全 组 件 包 

把 多 个 安全 需求 组 件 组 合 在 一 起 所 得 到 的 结果 就 叫做 一 个 安全 组 件 包 。 安 全 组 件 包 可 
用 于 构造 更 大 的 安全 组 件 包 或 用 于 构造 PP 和 ST。 安全 组 件 包 可 以 表示 一 组 安全 功能 需 
求 或 安全 保证 需求 ,这 些 需 求 可 以 满足 预定 安全 目标 中 的 某 个 子 目 标的 需要 。 

2. 保护 轮廓 定义 书 (PP) 

保护 轮廓 定义 书 是 一 份 安全 需求 说 明 书 ,CC 标准 对 它 的 格式 有 明确 的 规定 。PP 针对 
某 一 类 安全 环境 确立 相应 的 安全 目标 ,进而 定义 为 实现 这 些 安全 目标 所 需要 的 安全 需求 。 
PP 给 出 的 是 一 个 与 实现 无 关 的 安全 需求 定义 , 它 所 定义 的 这 些 需 求 没有 针对 具体 的 某 一 种 
安全 产品 ,只 针对 比较 明确 的 安全 目标 。 通 常 ,同一 个 PP 中 所 定义 的 安全 需求 可 以 在 多 种 
不 同 的 安全 产品 中 实现 。 每 个 PP 都 必须 指定 一 个 安全 可 信和 度 级 别 , 这 是 按照 该 PP 研制 的 
安全 产品 所 应 该 达到 的 安全 可 信 度 级 别 。 

PP 是 抽象 层次 较 高 的 安全 需求 说 明 书 ,可 以 由 产品 的 用 户 或 开发 者 或 其 他 第 三 方 来 定 
义 , 它 为 用 户 陈述 特定 的 安全 需要 提供 了 一 种 方法 。 在 PP 的 定义 中 ,通常 都 使 用 CC 中 定 
义 好 的 需求 组 件 或 由 这 些 组 件 构成 的 组 件 包 ,同时 ,也 可 以 使 用 自行 定义 的 需求 组 件 。 在 安 
全 产品 的 开发 过 程 中 ,PP 通常 在 ST 的 定义 中 被 引用 。 

PP 的 结构 由 以 下 几 个 部 分 组 成 : PP 简 述 .产品 说 明 、 安 全 环境 、 安 全 目标 、 安 全 需求 、 
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PP 应 用 注释 和 理论 依据 等 。 

PP 简 述 部 分 给 出 PP 的 标识 和 概貌 信息 。 产 品 说 明 部 分 描述 将 要 实现 PP 所 定义 的 安 
全 需求 的 安全 产品 的 类 型 和 一 般 特性 。 安 全 环境 部 分 描述 安全 产品 使 用 环境 中 的 有 关 安 全 
因素 ,包括 产品 可 能 面临 的 安全 威胁 和 产品 的 使 用 机 构 要 实施 的 安全 策略 等 。 安 全 目标 部 
分 定义 为 解决 安全 环境 中 的 各 种 安全 问题 所 应 确立 的 安全 目标 。 安 全 需求 部 分 定义 安全 产 
品 为 达到 已 确立 的 安全 目标 而 应 该 满足 的 安全 需求 ,包括 安全 功能 需求 和 安全 保证 需求 。 
PP 应 用 注释 部 分 可 有 可 无 , 它 可 以 包含 安全 产品 的 研制 ,评价 和 使 用 等 方面 的 附加 支持 信 
息 。 理 论 依据 部 分 为 以 下 论点 提供 证 明 依据 : (1) 该 PP 是 一 个 完全 的 一 致 的 需求 集合 。 
(2) 符 合 该 PP 要 求 的 安全 产品 能 在 其 安全 环境 中 提供 有 效 的 安全 对 策 。 这 个 部 分 包含 两 
个 方面 的 内 容 : 安全 目标 理论 依据 和 安全 需求 理论 依据 。 安 全 目标 理论 依据 需要 证 明 : 
PP 中 的 安全 目标 是 从 安全 环境 中 导出 的 并 能 涵盖 其 中 安全 问题 的 各 个 方面 ; 安全 需求 
理论 依据 需要 证 明 : PP 中 的 安全 需求 是 从 安全 目标 中 导出 的 并 能 满足 安全 目标 各 个 方 
面 的 要 求 。 

3. 安全 对 象 定义 书 (ST) 

安全 对 象 定义 书 (ST) 是 一 份 安全 需求 与 概要 设计 说 明 书 ,CC 标准 对 它 的 格式 有 明确 
的 规定 。ST 的 安全 需求 定义 与 PP 非常 相似 ,不 同 的 是 ST 的 安全 需求 是 为 某 一 特定 的 安 
全 产品 而 定义 的 。ST 的 安全 需求 可 通过 引用 某 个 (或 多 个 )PP 来 定义 ,也 可 采用 与 定义 PP 
相同 的 方法 从 头 定义 。ST 除 包含 PP 所 具有 的 内 容 外 ,还 包含 产品 的 概要 说 明 。ST 的 结 
构 由 以 下 几 个 部 分 组 成 : ST 简 述 .产品 说 明 、 安 全 环境 .安全 目标 、 安 全 需求 .产品 概要 说 
明 、PP 引用 声明 和 理论 依据 等 。 

其 中 ST 简 述 、 产 品 说 明 ,安全 环境 、 安 全 目标 和 安全 需求 等 部 分 与 PP 中 的 相应 部 分 
相似 。 概 要 说 明 部 分 对 安全 需求 给 出 例 化 定义 ,一 方面 ,针对 安全 功能 需求 定义 满足 这 
些 需求 的 安全 功能 , 另 一 方面 ,针对 安全 保证 需求 定义 满足 这 些 需 求 的 安全 保证 措施 。 
安全 功能 以 非 形式 化 的 方式 定义 ,描述 要 达到 一 定 的 详细 程度 ,能 把 有 关 的 实现 情况 
表达 清楚 ; 安全 保证 措施 可 适当 结合 有 关 质 量 计划 、 生 命 周 期 计划 和 管理 计划 等 加 以 
定义 。 

如 果 ST 中 有 对 PP 的 引用 , 则 PP 引用 声明 部 分 陈述 有 关 引 用 PP 的 情况 ,包括 ST 
与 PP 间 需 求 的 一 致 性 `ST 中 对 PP 需求 的 进一步 限定 ,ST 中 在 PP 基础 上 的 需求 扩 
展 等 。 

理论 依据 部 分 为 以 下 论点 提供 证 明 依据 : (1) 该 ST 是 一 个 完全 的 一致 的 需求 集合 ; 
(2) 符 合 该 ST 要 求 的 安全 产品 能 在 其 安全 环境 中 提供 有 效 的 安全 对 策 ; (3) 产 品 概要 说 明 
涵盖 了 所 定义 的 所 有 安全 需求 ; (4)PP 一 致 性 声明 是 有 效 的 。 这 个 部 分 包含 4 个 方面 的 内 
容 : 安全 目标 理论 依据 、 安 全 需求 理论 依据 ,概要 说 明理 论 依 据 和 PP 声明 理论 依据 。 安 全 
目标 理论 依据 和 安全 需求 理论 依据 与 PP 中 的 类 似 。 概 要 说 明理 论 依据 需要 证 明 : 用 ST 
中 设计 的 安全 功能 和 安全 措施 去 实现 安全 需求 中 的 要 求 是 合适 的 。 如 果 ST 引用 了 PP ,并 
且 ,ST 中 的 需求 与 PP 不 完全 相同 , 则 PP 声明 理论 依据 需要 对 其 间 的 差别 给 予 解 释 。CC 
标准 中 安全 需求 的 组 织 结构 如 图 8. 2 所 示 。 
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8.2 安全 需求 的 组 织 结构 


8.3.3 评估 保证 级 别 (EAL) 


CC 标准 定义 了 一 套 评估 保证 级 别 (Evaluation Assurance Level,EAL) ,作为 刻画 产品 
的 安全 可 信和 度 的 尺度 。EAL 是 由 CC 中 定义 的 安全 保证 需求 组 件 构成 的 一 个 特定 的 组 件 
包 , 由 此 可 见 ,CC 对 产品 安全 可 信 度 的 衡量 是 与 产品 的 安全 功能 相对 独立 的 。EAL 在 产品 
的 安全 可 信 度 与 获取 相应 可 信 度 的 可 行 性 及 所 需 付 出 的 代价 之 间 给 出 了 不 同等 级 的 权衡 。 

EAL 通过 构造 管理 ,发行 与 使 用 .开发 .指南 文档 .生命 周期 支持 测试 和 脆弱 性 评估 等 
方面 所 采取 的 措施 来 确立 产品 的 安全 可 信和 度 。 按 安全 可 信和 度 由 低 到 高 依次 递增 的 顺序 ,CC 
定义 了 7 个 安全 可 信和 度 级 别 ,分 别 记 为 EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7。 

EAL1 是 功能 测试 级 , 它 表 示 信 息 保护 问题 得 到 了 适当 的 处 理 。EAL2 是 结构 式 测 试 
级 , 它 要 求 评价 时 在 设计 信息 和 测试 结果 的 提供 方面 得 到 开发 人 员 的 配合 ,该 级 提供 低 中 级 
的 独立 安全 保证 。EAL3 是 基于 方法 学 的 测试 与 检查 级 , 它 要 求 在 设计 阶段 实施 积极 的 安 
全 工程 思想 ,提供 中 级 的 独立 安全 保证 。EAL4 是 基于 方法 学 的 设计 、 测 试 与 审查 级 , 它 要 
求 按照 良好 的 商业 化 开发 惯例 实施 积极 的 安全 工程 思想 ,提供 中 高 级 的 独立 安全 保证 。 
EAL5 是 半 形 式 化 的 设计 与 测试 级 , 它 要 求 按照 严格 的 商业 化 开发 惯例 .应 用 专业 安全 工程 
技术 实施 安全 工程 思想 ,提供 高 等 级 的 独立 安全 保证 。EAL6 是 半 形 式 化 验证 的 设计 与 测 
试 级 , 它 通过 在 严格 的 开发 环境 中 应 用 安全 工程 技术 来 获取 高 的 安全 保证 ,使 产品 能 在 高 度 
危险 的 环境 中 使 用 。EAL7 是 形式 化 验证 的 设计 与 测试 级 , 它 的 目标 是 使 产品 能 在 极端 危 
险 的 环境 中 使 用 ,目前 ,该 级 别 的 实际 应 用 只 限于 其 安全 功能 可 以 进行 广泛 的 形式 化 分 析 的 
安全 产品 。 

CC 标准 体现 了 软件 工程 与 安全 工程 相 结 合 的 思想 。 信 息 安全 产品 必须 按照 软件 工程 
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和 安全 工程 的 方法 进行 开发 才能 较 好 地 获得 预期 的 安全 可 信和 度 。 从 需求 分 析 到 产品 实现 的 
进展 角度 ,安全 产品 的 开发 过 程 可 依次 分 为 以 下 阶段 : 现实 应 用 环境 分 析 、 确 立 产 品 安全 环 
境 、 确 立 产品 安全 目标 、 确 立 产品 安全 需求 、 安 全 产品 概要 设计 、 安 全 产品 实现 等 。 一 般 而 
言 , 各 个 阶段 依次 顺序 进行 ,前 一 个 阶段 的 工作 结果 是 后 一 个 阶段 的 工作 基础 。 必 要 时 ,也 
需要 根据 后 面 阶段 工作 的 反馈 ,进一步 开展 前 面 阶段 的 工作 ,形成 循环 往复 的 过 程 。 开 发 出 
来 的 产品 经 过 安全 性 评价 和 可 用 性 鉴定 后 ,再 投入 实际 使 用 。 

从 安全 职能 的 表现 形式 的 角度 ,安全 产品 的 开发 过 程 可 依次 分 为 以 下 阶段 : 需求 组 件 
定义 、 组 件 包 定 义 、PP 定义 、ST 定义 .产品 实现 等 。 可 以 认为 组 件 用 于 构造 组 件 包 ,组 件 包 
用 于 构造 PP,PP 用 于 构造 ST,ST 用 于 作为 产品 的 实现 依据 。 但 也 不 绝对 ,例如 ,PP 和 ST 
都 可 以 直接 由 组 件 来 构造 ,而 PP 和 ST 又 都 必须 引用 EAL 组 件 包 。CC 建议 尽量 使 用 其 中 
预定 义 的 组 件 , 也 允许 自行 定义 组 件 ; CC 还 允许 在 引用 EAL 组 件 包 前 ,向 该 包 增加 其 他 组 
件 , 或 者 ,把 该 包 中 的 某 组 件 蔡 换 成 相应 的 强度 更 高 的 组 件 。 

在 CC 中 ,TOE 的 评价 是 以 ST 为 基础 的 。 不 管 我 们 通过 什么 方式 来 定义 ST, 经 过 分 
解 , 它 本 质 上 就 是 通过 需求 组 件 来 构造 的 。 因 此 ,需求 组 件 和 PP、ST 等 其 他 结构 一 起 ,构成 
了 CC 标准 对 信息 安全 产品 评价 的 基本 框架 。CC 标准 的 评价 框架 面向 所 有 信息 安全 产品 ， 
提供 安全 性 评价 的 基本 尺度 和 指导 思想 。 它 不 限定 哪 类 产品 应 该 提供 哪些 安全 功能 ,也 不 
限定 哪些 安全 功能 应 该 具有 哪个 级 别 的 安全 可 信和 度 。 所 有 这 些 , 由 产品 的 用 户 、 开 发 人 员 或 
其 他 第 三 方 在 实际 应 用 中 根据 实际 需要 来 确定 。 


8.3.4 利用 CC 标准 评估 产品 的 一 般 过 程 


在 使 用 CC 标准 对 信息 安全 产品 进行 测试 评估 时 ,并 不 是 直接 使 用 CC 来 对 所 有 类 型 的 
产品 进行 评估 ,而 是 引入 了 保护 轮廓 、 安 全 目标 以 及 功能 和 保证 的 概念 。 整 个 评估 过 程 从 概 
念 上 来 说 分 为 以 下 几 个 步骤 。 

首先 ,根据 产品 的 类 型 和 用 户 的 安全 需求 ,使 用 CC 编制 适用 于 某 一 类 型 产品 (如 防火 
墙 \ 人 侵 检测 系统 和 操作 系统 等 产品 类 型 ) 安 全 需求 的 保护 轮廓 ,也 就 是 保护 轮廓 是 用 户 对 
某 一 类 产品 安全 需求 的 标准 化 、 结 构 化 和 规范 化 的 描述 文件 。 

然后 ,产品 厂商 根据 保护 轮廓 ,针对 具体 的 安全 产品 编制 相对 应 的 安全 目标 以 描述 具体 
安全 产品 对 用 户 的 需求 ,也 就 是 保护 轮廓 满足 情况 的 描述 。 

当 经 过 认可 的 CC 测试 实验 室 拿 到 标准 化 用 户 需 求 的 保护 轮廓、 厂商 所 编制 的 具体 产 
品 的 安全 目标 和 IT 产品 后 ,测试 实验 室 使 用 通用 准则 的 标准 评估 方法 检查 厂商 所 编制 的 
安全 目标 相对 于 安全 轮廓 的 符合 性 、 安 全 产品 相对 于 安全 目标 的 符合 性 以 及 安全 产品 的 保 
证 级 别 , 得 出 正式 的 测试 报告 。 在 测试 报告 中 ,根据 客观 的 测试 数据 ,描述 安全 产品 功能 是 
否 符合 保护 轮廓 的 要 求 以 及 安全 产品 的 保证 级 别 。 

最 后 ,通用 准则 的 认可 机 构 对 测试 机 构 的 测试 报告 进行 确认 ,并 给 安全 产品 厂商 发 放 相 
应 的 认证 报告 。 在 认证 报告 中 描述 了 所 测试 评估 的 安全 产品 功能 上 符合 的 产品 类 型 以 及 安 
全 产品 的 保证 级 别 。 


8.3.5 CC 的 特点 
CC 比 起 早期 的 评估 准则 ,其 特点 体现 在 结构 的 开放 性 、 表 达 方 式 的 通用 性 以 及 结构 和 


第 8 章 信息 系统 安全 评价 标准 和 等 级 保护 241 





表达 方式 的 内 在 完备 性 和 实用 性 4 个 方面 。 

在 结构 的 开放 性 方面 ,CC 提出 的 安全 功能 要 求 和 安全 保证 要 求 都 可 以 在 具体 的 保护 
轮廓 和 安全 目标 中 进一步 细 化 和 扩展 ,例如 可 以 增加 “备份 和 恢复 "方面 的 功能 要 求 或 环境 
安全 要 求 。 这 种 开放 式 的 结构 更 适应 信息 技术 和 信息 安全 技术 的 发 展 。 

通用 性 的 特点 , 即 给 出 通用 的 表达 方式 。 如 果 用 户 、 开 发 者 .评估 者 和 认可 者 等 目标 用 
户 都 使 用 CC 语言 ,互相 之 间 就 更 容易 理解 沟通 。 如 果 用 户 使 用 CC 语言 表达 自己 的 安全 需 
求 , 开 发 者 就 可 以 有 针对 性 地 描述 产品 和 系统 的 安全 性 ,评估 者 也 更 容易 有 效 客观 地 进行 评 
佑 ,并 确保 评估 结果 对 用 户 而 言 更 容易 理解 。 这 种 特点 对 规范 实用 方案 的 编写 和 安全 性 测 
试 评估 都 具有 重要 意义 。 这 种 特点 也 是 在 经 济 全 球 化 发 展 、 全 球 信息 化 发 展 趋势 下 ,进行 合 
格 评定 和 评估 结果 国家 互 认 的 需要 。 

CC 的 这 种 结构 和 表达 方式 具有 内 在 完备 性 和 实用 性 的 特点 ,具体 体现 在 保护 轮廓 和 
安全 目标 的 编制 上 。 保 护 轮廓 主要 用 于 表达 一 类 产品 或 系统 的 用 户 需求 ,在 标准 化 体系 中 
可 以 作为 安全 技术 类 标准 对 待 。 其 内 容 主 要 包括 对 该 类 产品 或 系统 的 界定 性 描述 , 即 确定 
要 保护 的 对 象 ; 确定 安全 环境 , 即 指明 安全 问题 (需要 保护 的 资产 .已 知 的 威胁 ,用 户 的 组 织 
安全 策略 ); 产品 或 系统 的 安全 目的 , 即 安全 问题 的 相应 对 策 ( 技 术 性 和 非 技 术 性 措施 ); 信 
息 技术 安全 要 求 ,包括 功能 要 求 、 保 证 要 求 和 环境 要 求 ,这 些 要求 通 过 满足 安全 目的 ,进一步 
提出 具体 在 技术 上 如 何 解决 安全 问题 ; 基本 原理 ,指明 安全 要 求 对 安全 目的 ` 安 全 目的 对 安 
全 环境 是 充分 必要 的 ,以 及 附加 的 补充 说 明 信 息 。 

保护 轮廓 编制 ,一 方面 解决 了 技术 与 实际 需求 之 间 的 内 在 完备 性 , 另 一 方面 用 户 通 过 分 
析 所 需要 的 产品 和 系统 面临 的 安全 问题 ,明确 所 需 的 安全 策略 ,进而 确定 应 采取 的 安全 措 
施 ,包括 技术 和 管理 上 的 措施 ,这 样 有 助 于 提高 安全 保护 的 针对 性 和 有 效 性 。 

安全 目标 在 保护 轮廓 的 基础 上 ,通过 将 安全 要 求 进一步 有 针对 性 地 具体 化 ,解决 了 要 求 
的 具体 实现 。 通 过 保护 轮廓 和 安全 目标 这 两 种 结构 ,便于 将 CC 的 安全 性 要 求 具体 应 用 到 
IT 产品 的 开发 .生产 .测试 .评估 和 信息 系统 的 集成 .运行 .评估 和 管理 中 去 。 


8.4 我 国 的 信息 系统 安全 评估 标准 


为 了 提高 我 国 计 算 机 信息 系统 的 安全 保障 能 力 和 防护 水 平 ,确保 国家 安全 公共 利益 和 
社会 稳定 ,保障 信息 化 建设 的 健康 发 展 ,1994 年 2 月 ,国务 院 发 布 了 《中华 人民 共 和 国 计 算 
机 信息 系统 安全 保护 条 例 ) 规 定 , 要 求 “ 重 点 保护 国家 事务 、 国 家 经 济 建设 .国防 建设 .国内 尖 
端 科学 技术 等 重要 领域 的 信息 系统 的 安全 ”, 同 时 规定 计算 机 信息 系统 “实行 安全 等 级 保 
护 ”。1999 年 ,公安 部 提出 并 组 织 制定 了 强制 性 国家 标准 GB 17859:1999《 计 算 机 信息 安全 
保护 等 级 划分 准则 》, 该 准则 于 9 月 13 日 经 国家 质量 技术 监督 局 发 布 ,并 于 2001 年 1 月 
1 日 起 实施 。 该 标准 是 建立 安全 等 级 保护 制度 .实施 安全 等 级 管理 的 重要 基础 性 标准 。 它 
将 计算 机 信息 系统 安全 保护 等 级 划分 为 5 个 级 别 ,通过 规范 、 科 学 和 公正 的 评定 和 监督 管 
理 , 一 是 为 计算 机 信息 系统 安全 等 级 保护 管理 法 规 的 制定 和 执法 部 门 的 监督 检查 提供 依据 ; 
二 是 为 计算 机 信息 系统 安全 产品 的 研制 提供 技术 支持 ; 三 是 为 安全 系统 的 建设 和 管理 提供 
技术 指导 。2001 年 3 月 ,国家 质量 技术 监督 局 发 布 了 推荐 性 标准 《信息 技术 、 安 全 技术 、 信 
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息 技术 安全 性 评估 准则 》(GB/T 18336-2001) ,该 标准 等 同 于 国际 标准 ISO/IES 15408, 即 
CC 标准。 之 后 ,公安 部 于 2002 年 7 月 18 日 还 公布 并 实施 了 一 系列 计算 机 信息 系统 安全 等 
级 标准 ,包括 GA/T 390-2002 计 算 机 信息 系统 安全 等 级 保护 通用 技术 要 求 》GA/T 388- 
2002《 计 算 机 信息 系统 安全 等 级 保护 操作 系统 技术 要 求 》GA/VT 389-2002《 计 算 机 信息 系统 
安全 等 级 保护 数据 库 管理 系统 技术 要 求 ) 等 ,进一步 完善 了 计算 机 信息 系统 安全 等 级 保护 的 
标准 体系 。 


8.4.1 所 涉及 的 术语 


(1) 计算 机 信息 系统 (Computer Information System): 计 算 机 信息 系统 是 由 计算 机 及 
其 相关 的 和 配套 的 设备 .设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规则 对 信息 进行 采 
集 . 加 工 、 存 储 、 传 输 、 检 索 等 处 理 的 人 机 系统 。 

(2) 计算 机 信息 系统 可 信 计 算 基 (Trusted Computing Base of Computer Information 
System) :计算 机 系统 内 保护 装置 的 总 体 , 包 括 硬件 .固件 .软件 和 负责 执行 安全 策略 的 组 合 
体 。 它 建立 了 一 个 基本 的 保护 环境 并 提供 一 个 可 信 计 算 系 统 所 要 求 的 附加 用 户 服务 。 

(3) 客体 (Object) :信息 的 载体 。 

(4) 主体 (Subject) :引起 信息 在 客体 之 间 流 动 的 人 、 进 程 或 设备 等 。 

(5) 敏感 标记 (Sensitivity Label) :表示 客体 安全 级 别 并 描述 客体 数据 敏感 性 的 一 组 信 
息 ,可 信 计 算 基 中 把 敏感 标记 作为 强制 访问 控制 决策 的 依据 。 

(6) 安全 策略 (Security Policy): 有 关 管 理 、 保 护 和 发 布 敏感 信息 的 法 律 , 规 定 和 实施 
细则 。 

(7) 信道 (Channel) :系统 内 的 信息 传输 路 径 。 

(8) 隐蔽 信道 (Convert Channel) :允许 进程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通 
信和 信道。 

(9) 访问 监控 器 (Reference Monitor) :监控 主体 和 客体 之 间 授 权 访 问 关系 的 部 件 。 

(10) 可 信和 信道 (Trusted Channel) :为 了 执行 关键 的 安全 操作 ,在 主体 、 客 体 及 可 信 IT 
产品 之 间 建 立 和 维护 的 保护 通信 数据 免 遭 修改 和 泄露 的 通信 路 径 。 

(11) 客体 重用 : 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 制 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 该 客体 所 含 信 息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 
释放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 


8.4.2 等 级 的 划分 及 各 等 级 的 要 求 


《计算 机 信息 系统 安全 保护 等 级 划分 准则 ?将 信息 系统 划分 为 5 个 等 级 ,分 别 是 自主 保 
护 级 .系统 审计 保护 级 安全 标记 保护 级 、 结 构 化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考 
核 指 标 包括 自主 访问 控制 .强制 访问 控制 安全 标记 、 身 份 鉴别 、 客 体重 用、 审计 、 数 据 完整 
性 、 隐 项 信道 分 析 、 可 信和 路 径 和 可 信 恢 复 等 ,这 些 指标 涵盖 了 不 同 级 别 的 安全 要 求 。 

1. 第 一 级 ”用户 自主 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 通 过 隔离 用 户 与 数据 ,使 用 户 具 备 自主 安全 保护 的 
能 力 。 它 具有 多 种 形式 的 控制 能 力 .对 用 户 实施 访问 控制 , 即 为 用 户 提供 可 行 的 手段 ,保护 
用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 写 和 破坏 。 本 级 有 以 下 考核 指标 要 求 。 
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1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(例如 访问 控制 表 ) 人 允许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ,阻止 
非 授 权 用 户 读 取 敏感 信息 。 

2) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 
制 (口令 ) 来 鉴别 用 户 的 身份 ,阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 

3) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 敏感 
信息 。 
2. 第 二 级 ”系统 审 记 保护 级 
与 用 户 自主 保护 级 相 比 ,本 级 的 计算 机 信息 系统 可 信 计 算 基 实 施 了 粒度 更 细 的 自主 访 
问 控制 , 它 通过 登录 规程 .审计 安全 相关 事件 和 隔离 资源 ,使 用 户 对 自己 的 行为 负责 。 本 级 
有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定 义 和 控 制 系 统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(例如 访问 控制 表 ) 人 允许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ,阻止 
非 授权 用 户 读 取 敏感 信息 ,并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根据 用 户 指 定 方 式 或 
默认 方式 ,阻止 非 授 权 用 户 访问 客体 ,访问 控制 的 粒度 是 单个 用 户 , 没 有 存 取 权 的 用 户 只 允 
许 由 授权 用 户 指定 对 客体 的 访问 权 。 

2) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 
制 (例如 口令 ) 来 鉴别 用 户 的 身份 ,阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提 
供 唯一 标识 ,计算 机 信息 系统 可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 
可 信 计 算 基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

3) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访 
问 权 时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

4) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授权 用 户 对 它 的 访问 和 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 ,打开 文件 程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 :其 审计 记录 包括 事件 
的 日 期 和 时 间 用户、 事件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 来 源 ( 例 
如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客 
体 名 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
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口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辩 的 审计 
记录 。 

5) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授 权 用 户 修 改 或 破坏 敏感 
信息 。 
3. 第 三 级 ”安全 标记 保护 级 
本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ,还 提供 有 
关 安 全 策略 模型 数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形 式 化 描述 ; 具有 准确 地 标 
记 输 出 信息 的 能 力 , 消 除 通 过 测试 发 现 的 任何 错误 。 本 级 有 以 下 考核 指标 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(例如 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 
非 授权 用 户 读 取 敏感 信息 ,并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根 据 用 户 指 定 方式 或 
默认 方式 ,阻止 非 授 权 用 户 访问 客体 ,访问 控制 的 粒度 是 单个 用 户 , 没 有 存 取 权 的 用 户 只 允 
许 由 授权 用 户 指 定 对 客体 的 访问 权 。 阻 止 非 授 权 用 户 读 取 敏 感 信息 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 基 对 所 有 主体 及 其 所 控制 的 客体 (例如 进程 文件 , 段 、 设 备 ) 
实施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 类 别 
的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 算 基 支持 两 种 或 两 种 以 
上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 控制 的 所 有 主体 对 客体 的 访问 应 满足 : 
仅 当 主体 安全 级 中 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 等 
级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 才能 读 客体 ; 仅 当 主体 安全 级 中 等 级 
分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 等 级 类 别 包含 了 客体 安全 
级 中 的 全 部 非 等 级 类 别 ,主体 才能 写 客体 。 计 算 机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数 
据 , 鉴 别 用 户 的 身份 ,并 保证 用 户 创建 的 计算 机 信息 系统 可 信 计 算 基 外 部 主体 的 安全 级 和 授 
权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 基 应 维护 与 主体 及 其 控制 的 存储 客体 (例如 ,进程 文件 、 段 、 
设备 ) 相 关 的 敏感 标记 ,这 些 标记 是 实施 强制 访问 控制 的 基础 。 为 了 输入 未 加 安全 标记 的 数 
据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 些 数据 的 安全 级 别 , 且 可 由 计算 机 
信息 系统 可 信 计 算 基 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,而 且 , 计 算 机 
信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系 
统 可 信 计 算 基 使 用 这 些 数据 鉴别 用 户 ,并 使 用 保护 机 制 (例如 口令 ) 来 鉴别 用 户 的 身份 ,阻止 
非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ,计算 机 信息 系统 可 信 计 算 
基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 用 户 
所 有 可 审计 行为 相关 联 的 能 力 。 
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5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访 
问 权 时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授 权 的 用 户 对 它 进 行 访问 和 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 ,打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 
的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 来 源 ( 例 
如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客体 名 
及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输出 记号 的 能 力 。 
对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接口 ,可 
由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辩 的 审计 记录 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 
敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

4. 第 四 级 ”结构 化 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
它 要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 和 客体 。 此 外 ,还 要 考虑 隐 
蔽 通道 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 
素 。 计 算 机 信息 系统 可 信 计 算 基 的 接口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 
测试 和 更 完整 的 复审 。 加 强 了 鉴别 机 制 ,支持 系统 管理 员 和 操作 员 的 职能 ; 提供 可 信 设 施 
管理 ,增强 了 配置 管理 控制 。 系 统 具有 相当 的 抗 渗 透 能 力 。 本 级 有 以 下 考核 指标 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 ,实施 机 制 
(例如 访问 控制 表 ) 人 允许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 
非 授 权 用 户 读 取 敏感 信息 ,并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根 据 用 户 指定 方式 或 
默认 方式 ,阻止 非 授权 用 户 访问 客体 ,访问 控制 的 粒度 是 单个 用 户 , 没 有 存 取 权 的 用 户 只 允 
许 由 授权 用 户 指定 对 客体 的 访问 权 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 基 对 所 有 主体 及 其 所 控制 的 客体 (例如 进程 ,文件 、 段 、 设 备 ) 
实施 强制 访问 控制 。 为 这 些 主 体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 类 别 
的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 算 基 支持 两 种 或 两 种 以 
上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 外 部 的 所 有 主体 对 客体 的 直接 或 间接 的 
访问 应 满足 : 仅 当 主体 安全 级 中 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安 
全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 , 主体 才能 读 客 体 ; 仅 当 主体 
安全 级 中 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 等 级 类 别 包 


246 信息 系统 安全 





含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 才能 写 客体 。 计 算 机 信息 系统 可 信 计 算 基 使 用 
身份 和 鉴别 数据 鉴别 用 户 的 身份 ,并 保证 用 户 创建 的 计算 机 信息 系统 可 信 计 算 基 外 部 主体 
的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 基 应 维护 与 外 部 主体 直接 或 间接 访问 到 的 计算 机 信息 系统 资 
源 (例如 ,主体 、 存 储 客体 、 只 读 存储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 控制 的 
基础 。 为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 
这 些 数 据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,而 且 , 计 算 机 
信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系 
统 可 信 计 算 基 使 用 这 些 数据 鉴别 用 户 身 份 , 并 使 用 保护 机 制 (例如 口令 ) 来 鉴别 用 户 的 身份 ， 
阻止 非 授 权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ,计算 机 信息 系统 可 信 
计算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 
用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访 
问 权 时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授 权 的 用 户 对 它 访 问 和 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 ,打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 
的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 
源 ( 例 如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 
客体 名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输出 记号 
的 能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辩 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 

计算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐藏 存储 信道 时 可 能 被 使 用 的 事件 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 
敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

8) 隐蔽 信道 分 析 

系统 开发 者 应 彻底 搜索 隐藏 存储 信道 ,并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标识 
信道 的 最 大 带宽 。 
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9) 可 信 路 径 

对 用 户 的 初始 登录 和 鉴别 ,计算 机 信息 系统 可 信 计 算 基 在 它 和 用 户 之 间 提 供 可 信 通 信 
路 径 。 该 路 径 上 的 通信 和 只 能 由 该 用 户 初始 化 。 

5. 访问 验证 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 仲裁 主体 对 客体 
的 全 部 访问 。 访 问 监控 器 本 身 是 抗 自 改 的 ; 必须 足够 小 ,能 够 分 析 和 测试 。 为 了 满足 访问 
监控 器 需求 ,计算 机 信息 系统 可 信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 非 必要 
的 代码 ; 在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支 持 安全 管理 员 
职能 ; 扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢复 机 制 。 系 统 具 
有 很 高 的 抗 渗透 能 力 。 本 级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(例如 访问 控制 表 ) 人 允许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 
非 授 权 用 户 读 取 敏感 信息 ,并 控制 访问 权限 扩散 。 

自主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方式 ,阻止 非 授权 用 户 访问 客体 ,访问 控制 
的 粒度 是 单个 用 户 ,访问 控制 能 够 为 每 个 命名 客体 指定 命名 用 户 和 用 户 组 ,并 规定 它们 对 客 
体 的 访问 模式 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (例如 主体 、 存 
储 客 体 和 输入 输出 资源 ) 实 施 强 制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 
等 级 分 类 和 非 等 级 类 别 的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 
算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 外 部 的 所 有 主体 
对 客体 的 直接 或 间接 的 访问 应 满足 : 仅 当 主体 安全 级 中 等 级 分 类 高 于 或 等 于 客体 安全 级 中 
的 等 级 分 类 , 且 主 体 安全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 才 
能 读 客体 ; 仅 当主 体 安 全 级 中 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安 全 
级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 , 主 体 才 能 写 客体 。 计 算 机 信息 
系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,并 保证 用 户 创建 的 计算 机 信息 系统 
可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 基 应 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 的 计算 机 信息 系 
统 资源 (例如 ,主体 、 存 储 客体 、 只 读 存储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实 施 强制 访问 控 
制 的 基础 。 为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 
接受 这 些 数据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标 识 自己 的 身份 ,而 且 , 计 算 机 
信息 系统 可 信 计 算 基 维护 用 户 身 份 识别 数据 并 确定 用 户 访 问 权 及 授权 数据 。 计 算 机 信息 系 
统 可 信 计 算 基 使 用 这 些 数 据 鉴别 用 户 , 并 使 用 保护 机 制 (例如 口令 ) 来 鉴别 用 户 的 身份 ,阻止 
非 授 权 用 户 访问 用 户 身 份 鉴 别 数据 。 通 过 为 用 户 提供 唯一 标识 ,计算 机 信息 系统 可 信 计 算 
基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 用 户 
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所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访 
问 权 时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授 权 的 用 户 对 它 进 行 访问 和 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 ,打开 文件 .程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 
的 日 期 和 时 间 、 用 户 事件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 来 源 ( 例 
如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客体 名 
及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记号 的 能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辩 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 ,可 由 授权 主体 调用 。 这 些 审 计 记 录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 计 算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

计算 机 信息 系统 可 信 计 算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 , 当 超过 
阔 值 时 ,能够 立即 向 安全 管理 员 发 出 警报 。 并 且 , 如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 积 
累 , 系 统 应 以 最 小 的 代价 终止 它们 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 敏感 信 
息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

8) 隐蔽 信道 分 析 

系统 开发 者 应 彻底 搜索 隐蔽 信道 ,并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标识 信道 
的 最 大 带宽 。 

9) 可 信 路 径 

当 连 接 用 户 时 (例如 注册 .更改 主体 安全 级 ) ,计算 机 信息 系统 可 信 计 算 基 提供 它 与 用 户 
之 间 的 可 信 通 信 路 径 。 可 信 路 径 上 的 通信 只 能 由 该 用 户 或 计算 机 信息 系统 可 信 计 算 基 激 
活 ,在 逻辑 上 与 其 他 路 径 上 的 通信 相隔 离 , 且 能 正确 地 加 以 区 分 。 

10) 可 信和 恢复 

计算 机 信息 系统 可 信 计 算 基 提供 过 程 和 机 制 ,保证 计算 机 信息 系统 能 够 在 失效 或 中 断 
后 ,进行 不 损害 任何 安全 保护 性 能 的 恢复 。 


8.5 信息 安全 等 级 保护 


当前 ,我 国 已 建成 规模 宏大 、 覆 盖 全 国 的 信息 网 络 ,国家 重大 工程 建设 的 重要 网 络 和 信 
息 系统 ,已 成 为 支撑 国民 经 济 和 社会 发 展 的 关键 基础 设施 。 为 了 保障 我 国 重要 网 络 和 系统 
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的 安全 ,党 中 央 国 务 院 作出 了 一 系列 重大 决策 和 部 署 ,确立 了 以 等 级 保护 制度 为 核心 的 信息 
安全 保障 体系 。 

1994 年 国务 院 颁发 的 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ? 规 定 :“ 计 算 机 
信息 系统 实行 等 级 保护 ,安全 等 级 的 划分 标准 和 安全 等 级 保护 的 具体 方法 ,由 公安 部 会 同 有 
关 部 门 制定 ”。 为 此 ,以 强制 性 国家 标准 GB 17859-1999《 计 算 机 信息 系统 安全 保护 等 级 划 
分 准则 》( 以 下 简称 准则 ) 为 核心 的 一 系列 等 级 保护 国标 ,于 1999 年 经 国家 质量 技术 监督 局 
批准 发 布 ,于 2001 年 1 月 起 实施 。 有 关 《 准 则 ) 的 具体 内 容 8.4 节 已 经 做 了 详细 介绍 。 

2004 年 公安 部 发 布 (关于 信息 安全 等 级 保护 工作 的 实施 意见 》, 明 确 指出 信息 安全 等 级 
保护 制度 的 基本 内 容 是 : 对 国家 秘密 信息 、 法 人 和 其 他 组 织 及 公民 的 专 有 信息 以 及 公开 信 
息 和 存储 传输、 处 理 这 些 信息 的 信息 系统 分 等 级 实行 安全 保护 ,对 信息 系统 中 使 用 的 信息 
安全 产品 实行 按 等 级 管理 ,对 信息 系统 中 发 生 的 信息 安全 事件 分 等 级 响应 、 处 置 。 

此 外 ,2007 年 公安 部 发 布 了 《信息 安全 等 级 保护 管理 办 法 》, 明 确 了 信息 安全 等 级 保护 
的 基本 内 容 、 流 程 及 工作 要 求 , 明 确 了 信息 系统 运营 使 用 单位 和 主管 部 门 、 监 管 部 门 在 信息 
安全 等 级 保护 工作 中 的 职责 ,任务 ,为 开展 信息 安全 等 级 保护 工作 提供 了 规范 保障 。 

对 信息 系统 的 安全 等 级 划分 有 两 种 描述 形式 ,《 准 则 ) 根 据 安全 保护 能 力 将 信息 系统 划 
分 为 5 个 安全 等 级 , 即 用 户 自主 保护 级 、 系 统 审计 保 护 级 、 安 全 标记 保护 级 、 结 构 化 保护 级 、 
访问 验证 保护 级 ; 《管理 办 法 ) 根 据 主体 遭受 破坏 后 对 客体 的 破坏 程度 划分 为 5 个 安全 等 
级 , 即 自 主 保护 级 、 指 导 保护 级 监督 保 护 级 、 强 制 保护 级 、 专 控 保 护 级 。 实 际 上 ,这 两 种 安全 
等 级 具有 对 应 关系 。 


8.5.1 等 级 保护 的 基本 概念 


信息 系统 安全 等 级 保护 是 指 对 信息 安全 实行 等 级 化 保护 和 等 级 化 管理 。 根 据 信息 系统 
应 用 业务 重要 程度 及 其 实际 安全 需求 ,实行 分 级 .分 类 、 分 阶段 保护 ,保障 信息 安全 和 系统 安 
全 正常 运行 ,维护 国际 利益 .公共 利益 和 社会 稳定 。 


8.5.2 等 级 保护 的 定 级 要 素 及 级 别 划分 


信息 系统 的 安全 保护 等 级 应 当 根据 信息 系统 在 国家 安全 、 经 济 建设 .社会 生活 中 的 重要 
程度 , 遭 到 破坏 后 对 国家 安全 社会 秩序 .公共 利益 以 及 公民 \` 法 人 和 其 他 组 织 的 合法 权益 的 
危害 程度 等 因素 确定 。 

信息 系统 的 安全 保护 等 级 由 两 个 定 级 要 素 决 定 : 等 级 保护 对 象 受到 破坏 时 所 侵害 的 客 
体 和 对 客体 造成 侵害 的 程度 。 

1. 受 侵害 的 客体 

等 级 保护 对 象 受 到 破坏 时 所 侵害 的 客体 包括 以 下 三 个 方面 : 

(1) 公民 ,法 人 和 其 他 组 织 的 合法 权益 ; 

(2) 社会 秩序 公共 利益 ; 

(3) 国家 安全 。 

2. 对 客体 的 侵害 程度 

(1) 一 般 损 害 ; 
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(2) 严重 损害 ; 

(3) 特别 严重 损害 。 

根据 以 上 要 素 ,《 管 理 办 法 ?将 信息 系统 等 级 保护 分 为 5 级 ,如 表 8. 2 所 示 , 从 第 1 级 到 
第 5 级 逐 级 增高 ,确定 为 第 3 级 以 上 的 信息 系统 属于 国家 重要 信息 系统 。 

(1) 第 1 级 : 自主 保护 级 ,适用 于 小 型 私营 .个体 企业 .中 小 学 .乡镇 所 属 信息 系统 .县 级 
单位 中 一 般 的 信息 系统 。 

(2) 第 2 级 : 指导 保护 级 ,适用 于 县 级 某 些 单位 中 的 重要 信息 系统 、 地 市 级 以 上 国家 机 
关 、 企 事业 单位 内 部 一 般 的 信息 系统 ,例如 非 涉及 工作 秘密 商业 秘密 、 敏 感 信 息 的 办 公 系 统 
和 管理 系统 等 。 

(3) 第 3 级 : 监督 保护 级 ,一 般 适 用 于 地 市 级 以 上 国家 机 关 、 企 事业 单位 内 部 重要 的 信 
息 系统 。 跨 省 或 全 国联 网 运行 的 用 于 生产 、 调 度 、 管 理 , 指 挥 , 作 业 、 控 制 等 方面 的 重要 信息 
系统 ,以 及 这 类 系统 在 省 、 地 市 的 分 支 系统 ,中 央 各 部 委 、 省 门户 重要 网 站 、 跨 省 连接 的 网 络 
系统 等 ,例如 网 上 银行 系统 .证券 集中 交易 系统 海关 通关 系统 .民航 离 港 控制 系统 等 为 三 级 
信息 系统 。 

(4) 第 4 级 : 强制 保护 级 。 一 般 适 用 于 国家 重要 领域 .部门 中 涉及 国计民生 、 国 家 利益 、 
国家 安全 .影响 社会 稳定 的 核心 系统 ,例如 电信 和 骨干 传输 网 .电力 能 量 管理 系统 .银行 核心 业 
务 系统 、 铁 路 客票 系统 、 列 车 指挥 调度 系统 等 。 

(5) 第 5 级 : 专 控 保护 级 ,适用 于 国家 特殊 领域 的 极端 重要 系统 。 


表 8.2 信息 系统 等 级 保护 划分 






































等 级 对 象 侵害 客体 侵害 程度 监督 强度 

第 1 级 合法 权益 损害 自主 保护 

一 般 系 统 合法 权益 严重 损害 
人 社会 秩序 和 公共 利益 损害 人 

八 

了 社会 秩序 和 公共 利益 | 严重 损害 ya 

a 国家 安全 损害 

社会 秩序 和 公共 利益 | ”特别 严重 损害 

第 4 级 i er 强制 监督 检查 
第 5 级 极端 重要 系统 国家 安全 特别 严重 损害 | 专门 监督 检查 


8.5.3 等 级 保护 工作 的 环节 


等 级 保护 工作 的 环节 主要 包括 信息 系统 定 级 、 备 案 、 安 全 建设 整改 .等 级 测评 、 监 督 
检查 。 

(1) 定 级 : 对 信息 系统 进行 定 级 是 等 级 保护 的 基础 ,具体 是 指 各 单位 、 各 部 门 按照 等 级 
保护 有 关 政 策 和 标准 要 求 , 确 定 信息 系统 的 安全 保护 等 级 ,组 织 专家 进行 评审 ,主管 部 门 
审批 。 

(2) 备案 : 是 指 信息 系统 等 级 确定 后 ,第 2 级 以 上 的 信息 系统 到 公安 机 关 备 案 , 公 安 机 
关 审 核 信息 系统 等 级 和 有 关 材 料 ,符合 要 求 的 办 理 备 案 证 明 。 

(3) 安全 建设 整改 : 备案 单位 根据 信息 系统 安全 保护 等 级 ,按照 等 级 保护 有 关 政 策 和 
标准 要 求 ,开展 安 全 建设 整改 ,建设 安全 设施 ,落实 安全 措施 ,落实 安全 责任 ,建立 并 落实 安 
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全 管理 制度 。 

(4) 等 级 测评 : 备案 单位 选择 (全 国信 息 安全 等 级 保护 测评 机 构 推 荐 目录 》 中 的 测评 机 
构 开 展 等 级 测评 ,对照 等 级 保护 有 关 标 准 , 查 找 安全 问题 和 差距 ,为 开展 安全 建设 整改 提供 
依据 。 

(5) 监督 检查 : 备案 单位 定期 开展 自 查 ,行业 主管 部 门 组 织 开 展 督 导 检查 ,公安 机 关 依 
法 对 各 单位 、 各 部 门 开 展 等 级 保护 工作 情况 进行 定期 检查 。 


8.6 小 结 


为 了 对 现 有 计算 机 系统 进行 统一 评价 ,为 计算 机 系统 制造 商 提供 一 个 权威 的 系统 安全 
性 标准 ,需要 有 一 个 计算 机 系统 安全 评测 标准 。 本 章 主 要 介绍 了 具有 广泛 影响 力 的 美国 国 
防 部 推出 的 TCSEC 标准 、 国 际 标准 化 组 织 ISO/IEC JTC1 发 布 的 CC 标准 ,以 及 我 国 的 信 
息 系统 安全 评估 标准 。 同 时 ,为 了 保障 我 国 重要 网 络 和 系统 的 安全 ,需要 对 信息 安全 实行 等 
级 化 保护 和 等 级 化 管理 。 





习 题 
一 、 填空 题 
1.《 可 信 计 算 机 系统 评估 准则 (TCSEC)) 将 系统 的 安全 等 级 分 为 
和 4 类 。 
2. 目前 通用 Windows 操作 系统 满足 TCSEC 的 安全 性 要 求 。 


3. CC 分 为 三 个 部 分 ,分 别 是 到 

4.《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 将 信息 系统 划分 为 5 个 等 级 ,分 别 为 
和 

5. 在 TCSEC 中 对 隐蔽 信道 首次 提出 要 求 的 安全 级 别 是 

6. 在 TCSEC 中 对 首次 引入 审计 的 安全 级 别 是 

7. 我 国信 息 安 全 等 级 保护 划分 为 5 级 ,分 别 是 











8. 信息 系统 的 等 级 保护 工作 分 为 5 个 环节 ,分 别 是 

二 、 简 答题 

1. 本 章 中 介绍 的 一 些 安全 标准 有 何 联 系 与 区 别 ? 

2. 我 国 对 信息 系统 的 安全 等 级 划分 通常 有 两 种 描述 形式 , 即 根据 安全 保护 能 力 划分 安 
全 等 级 的 描述 ,以 及 根据 主体 遭受 破坏 后 对 客体 的 破坏 程度 划分 安全 等 级 的 描述 。 谈 谈 这 
两 种 等 级 划分 的 对 应 关系 。 

3. 知识 拓展 : 查阅 资料 ,详细 了 解 国家 信息 安全 等 级 保护 政策 和 标准 内 容 。 




















第 9 章 信息 系统 安全 风险 评估 


信息 系统 安全 问题 单 凭 技术 是 无 法 得 到 彻底 解决 的 , 它 的 解决 涉及 到 政策 法 规 、 管 理 、 
标准 、 技 术 等 方方面面 ,任何 单一 层次 上 的 安全 措施 都 不 可 能 提供 真正 全 方位 的 安全 ,信息 
系统 安全 问题 的 解决 更 应 该 站 在 系统 工程 的 角度 来 考虑 。 在 这 项 系统 工程 中 ,信息 系统 安 
全 风险 评估 占有 重要 的 地 位 , 它 是 信息 系统 安全 的 基础 和 前 提 。 

本 章 9. 1 节 简单 介绍 风险 评估 的 概念 ,9.2 节 介绍 定量 .定性 等 风险 评估 的 方法 ,9. 3 节 
介绍 目前 常用 的 风险 评估 的 工具 ,9. 4 节 详 细 介绍 风险 评估 的 过 程 ,9.5 节 指 出 风险 评估 存 
在 的 问题 。 


9.1 风险 评估 简介 


信息 系统 风险 评估 是 从 风险 管理 的 角度 ,运用 科学 的 方法 和 手段 ,系统 分 析 网 络 和 信息 
系统 所 面临 的 威胁 及 其 存在 的 脆弱 性 ,评估 安全 事件 一 旦 发 生 可 能 造成 的 危害 程度 ,为 防范 
和 化 解 信息 安全 风险 ,或 者 将 风险 控制 在 可 接受 的 水 平 ,制定 有 针对 性 的 抵御 威胁 的 防护 对 
策 和 整改 措施 ,以 最 大 限度 地 为 保障 计算 机 网 络 信息 系统 安全 提供 科学 依据 。 

在 信息 化 建设 中 ,各 类 信息 系统 由 于 可 能 存在 软 硬 件 设备 缺陷 、 系 统 集成 缺陷 等 ,以 及 
信息 安全 管理 中 潜在 的 薄弱 环节 ,都 将 导致 不 同 程度 的 安全 风险 。 

对 系统 进行 风险 分 析 和 评估 的 目的 是 了 解 系统 目前 与 未 来 的 风险 所 在 ,评估 这 些 风险 
可 能 带 来 的 安全 威胁 与 影响 程度 ,为 安全 策略 的 确定 、 信 息 系 统 的 建立 及 安全 运行 提供 依 
据 。 同 时 通过 第 三 方 权威 或 者 国际 机 构 评估 和 认证 ,也 给 用 户 提供 了 信息 技术 产品 和 系统 
可 靠 性 的 信心 ,增强 产品 .单位 的 竞争 力 。 

信息 系统 风险 分 析 和 评估 是 一 个 复杂 的 过 程 ,一 个 完善 的 信息 安全 风险 评估 架构 应 该 
具备 相应 的 标准 体系 、 技 术 体系 、 组 织 架构 .业务 体系 和 法 律 法 规 。 

我 国 的 信息 安全 风险 评估 工作 在 有 条 不 率 地 推进 。2003 年 7 月 ,中 办 发 [2003]27 号 文 
件 对 开展 信息 、 安 全 风险 评估 工作 提出 了 明确 的 要 求 。 国 信 办 委托 国家 信息 中 心 牵 头 ,成立 
了 国家 信息 安全 风险 评估 课题 组 对 信息 安全 风险 评估 相关 工作 展开 调查 研究 。2004 年 
3 月 29 日 正式 启动 了 信息 安全 风险 评估 标准 草案 的 编制 工作 。2004 年 年 底 完成 了 《信息 安 
全 风险 评估 指南 标准 草案 。2005 年 由 国务 院 信息 办 组 织 在 北京 、 上 海 黑龙江、 云南 ,由 人 
民 银 行 国家 税务 总 局 、 国 家 信息 中 心 与 国家 电力 总 公司 开展 了 验证 《信息 安全 风险 评估 指 
南 ) 的 可 行 性 与 可 用 性 的 试点 工作 。2006 年 6 月 19 日 .全国 信息 安全 标准 化 技术 委员 会 经 
过 讨论 ,将 标准 正式 命名 为 (信息 安全 技术 ”信息 安全 风险 评估 规范 》, 并 同意 通过 评审 。 由 
国家 标准 化 管理 委员 会 审查 批准 发 布 的 GB/T 20984-2007《 信 息 安 全 技术 信息 安全 风险 评 
佑 规范》 于 2007 年 11 月 1 日 正式 实施 。 

《信息 安全 风险 评估 规范 》( 以 下 简称 (规范 )) 是 我 国 开 展 信息 安全 风险 评估 工作 遵循 的 
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国家 标准 。《 规 范 ) 定 义 了 风险 评估 的 基本 概念 ,原理 及 实施 流程 ,对 被 评估 系统 的 资产 、 威 
胁 和 脆弱 性 识别 要 求 进行 了 详细 描述 ,并 给 出 了 具体 的 定 级 依据 ; 提出 了 风险 评估 在 信息 
系统 生命 周期 不 同 阶段 的 实施 要 点 ,以 及 风险 评估 的 工作 形式 。 


9.2 ”风险 评估 的 方法 


在 评估 过 程 中 使 用 何 种 方法 对 评估 的 有 效 性 占有 举足轻重 的 地 位 。 评 估 方 法 的 选择 直 
接 影响 到 评估 过 程 中 的 每 个 环节 ,甚至 可 以 左右 最 终 的 评估 结果 ,所 以 需要 根据 系统 的 具体 
情况 ,选择 合适 的 风险 评估 方法 。 风 险 评估 的 方法 有 很 多 种 ,概括 起 来 可 分 为 三 大 类 : 定量 
的 风险 评估 方法 .定性 的 风险 评估 方法 ,定性 与 定量 相 结合 的 评估 方法 。 


9.2.1 定量 评估 方法 


定量 的 评估 方法 是 指 运 用 数量 指标 来 对 风险 进行 评估 ,通过 对 风险 相关 的 所 有 要 素 ( 资 
产 价值 .威胁 频率 、 弱 点 利用 程度 .安全 措施 的 效率 和 成 本 等 ) 赋 值 实现 对 风险 评估 结果 的 量 
化 。 典 型 的 定量 分 析 方法 有 因子 分 析 法 、 聚 类 分 析 法 、 时 序 模型 .回归 模型 ,等 风险 图 法 、 决 
策 树 法 等 。 定 量 评 估 中 涉及 的 几 个 重要 概念 如 下 。 

(1) 暴露 因子 (Exposure Factor,EF) : 特定 威胁 对 特定 资产 造成 损失 的 百分比 , 即 损失 
的 程度 。 

(2) 单一 损失 期 望 (Single Loss Expectancy'SLE): 即 特 定 威胁 可 能 造成 的 潜在 损失 
总 量 。 

(3) 年 度 发 生 率 (Annualized Rate of Occurrence,ARO) : 威胁 在 一 年 内 估计 会 发 生 的 
频率 。 

(4) 年 度 损 失 期 望 (Annualized Loss Expectancy,ALE): 即 特定 资产 在 一 年 内 遭受 损 
失 的 预期 值 。 

定量 分 析 的 过 程 如 下 : 

(1) 识别 资产 并 为 资产 赋值 。 

(2) 通过 威胁 和 弱点 评估 ,评估 特定 威胁 作用 于 特定 资产 所 造成 的 影响 , 即 确定 EF( 取 
值 为 0% 一 100%%) 。 

(3) 计算 特定 威胁 发 生 的 概率 , 即 ARO。 

(4) 计算 资产 的 SLE: SLE 一 总 资产 值 XEF。 

(5) 计算 资产 的 ALE: ALE==SLEX ARO。 

【 例 9-1】 假定 某 公 司 投资 500 000 美元 建 了 一 个 网 络 运营 中 心 ,其 最 大 威胁 是 火灾 ， 
一 旦 火灾 发 生 , 网 络 运营 中 心 的 估计 损失 程度 EF 二 45% ,根据 消防 部 门 推断 ,该 网 络 运 营 中 
心 所 在 的 地 区 每 5 年 会 发 生 一 次 火灾 ,于 是 得 出 ARO==0.2。 基 于 以 上 数据 ,该 公司 网 络 运 
营 中 心 的 ALE 将 是 500 000X45%X0.2 二 45 000 美元 。 

可 以 看 到 ,对 定量 分 析 来 说 ,EF 和 ARO 两 个 指标 最 为 关键 。 

定量 评估 方法 的 优点 是 用 客观 、 直 观 的 数据 表述 评估 的 结果 ,看 起 来 一 目 了 然 ,有 时 ,一 
个 数据 所 能 够 说 明 的 问题 可 能 是 用 一 大 段 文字 也 不 能 够 阐述 清楚 的 ; 并 且 定 量 分 析 方 法 的 
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采用 ,可 以 使 研究 结果 更 科学 、 更 严密 、 更 深刻 。 缺 点 是 常常 为 了 量化 ,使 本 来 比较 复杂 的 事 
物 简单 化 ,模糊 化 了 ,有 的 风险 因素 被 量化 以 后 还 可 能 被 误解 和 曲解 。 


9.2.2 定性 评估 方法 


定性 评估 方法 是 主要 依据 研究 者 的 知识 经验、 历史 教训 、 政 策 走向 及 特殊 变 例 等 非 量 
化 资料 对 系统 风险 状况 做 出 判断 的 过 程 。 它 主要 以 与 调查 对 象 的 深入 访谈 做 出 的 个 案 记 录 
为 基本 资料 ,然后 通过 一 个 理论 推导 演绎 的 分 析 框 架 ,对 资料 进行 编码 整理 ,在 此 基础 上 做 
出 调查 结论 。 典 型 的 定性 分 析 方法 有 因素 分 析 法 . 逮 辑 分 析 法 历史 比较 法 、 德 尔 斐 法 。 

定性 评估 方法 的 优点 是 避免 了 定量 方法 的 缺点 ,可 以 挖掘 出 一 些 蕴藏 很 深 的 思想 ,使 评 
估 的 结论 更 全 面 、 更 深刻 ; 但 它 的 主观 性 很 强 ,往往 需要 凭借 分 析 者 的 经 验 和 直觉 ,或 者 业 
界 的 标准 和 惯例 ,对 评估 者 本 身 的 要 求 很 高 。 定 性 评估 方法 为 风险 管理 各 要 素 ( 资 产 价值 、 
威胁 的 可 能 性 、 脆 弱点 被 利用 的 容易 度 等 ) 的 大 小 或 高 低 程度 定性 分 级 ,例如 高 .中 、 低 三 级 。 

与 定量 分 析 方法 相 比 ,定性 分 析 较 为 主观 ,精确 性 不 够 ,而 定量 分 析 较 为 客观 , 比较 精 
确 。 此 外 ,定量 分 析 的 结果 直观 ,容易 理解 ,而 定性 分 析 的 结果 则 很 难 有 统一 的 解释 。 


9.2.3 定性 与 定量 相 结合 的 综合 评估 方法 


系统 风险 评估 是 一 个 复杂 的 过 程 ,需要 考虑 的 因素 很 多 ,有 些 评估 要 素 可 以 用 量化 的 形 
式 来 表达 ,而 对 有 些 要 素 的 量化 又 是 很 困难 甚至 是 不 可 能 的 ,所 以 我 们 不 主张 在 风险 评估 过 
程 中 一 味 地 追求 量化 ,也 不 认为 一 切 量化 的 风险 评估 过 程 都 是 科学 .准确 的 。 我 们 认为 定量 
分 析 是 定性 分 析 的 基础 和 前 提 , 定 性 分 析 应 建立 在 定量 分 析 的 基础 上 才能 揭示 客观 事物 的 
内 在 规律 。 定 性 分 析 则 是 灵魂 ,是 形成 概念 、 观 点 .做 出 判断 .得 出 结论 所 必须 依靠 的 ,在 复 
杂 的 信息 系统 风险 评估 过 程 中 ,不 能 将 定性 分 析 和 定量 分 析 两 种 方法 简单 地 割裂 开 来 ,而 是 
应 该 将 这 两 种 方法 融合 起 来 ,采用 综合 的 评估 方法 。 


9.2.4 典型 的 风险 评估 方法 


在 信息 系统 风险 评估 过 程 中 ,层次 分 析 法 (AHP) 经 常 被 用 到 , 它 是 一 种 综合 的 评估 方 
法 。 该 方法 是 由 美国 著名 的 运筹 学 专家 SattyTL 于 20 世纪 70 年 代 提 出 来 的 ,是 一 种 定性 
与 定量 相 结 合 的 多 目标 决策 分 析 方 法 。 这 一 方法 的 核心 是 将 决策 者 的 经 验 判断 给 予 量化 ， 
从 而 为 决策 者 提供 定量 形式 的 决策 依据 。 目 前 该 方法 已 被 广泛 地 应 用 于 尚 无 统一 度量 标尺 
的 复杂 问题 的 分 析 ,解决 用 纯 参 数 数学 模型 方法 难以 解决 的 决策 分 析 问 题 。 该 方法 对 系统 
进行 分 层次 、 拟 定量 、 规 范 化 处 理 , 在 评估 过 程 中 经 历 系统 分 解 、 安 全 性 判断 和 综合 判断 三 个 
阶段 。 它 的 基本 步骤 如 下 。 

(1) 系统 分 解 , 建 立 层次 结构 模型 。 层 次 模型 的 构造 基于 分 解法 的 思想 ,进行 对 象 的 系 
统 分 解 。 它 的 基本 层次 有 三 类 : 目标 层 、 准 则 层 和 指标 层 ,目的 是 基于 系统 基本 特征 建立 系 
统 的 评估 指标 体系 。 

(2) 构造 判断 矩阵 ,通过 单 层次 计算 进行 安全 性 判断 。 判 断 矩 阵 的 作用 是 在 上 一 层 某 
一 元 素 约束 条 件 下 ,对 同 层次 的 元 素 间 的 相对 重要 性 进行 比较 ,根据 心理 学 家 提出 的 “人 区 
分 信息 等 级 的 极限 能 力 为 7 士 2 的 研究 结论 ,AHP 方法 在 对 评估 指标 的 相对 重要 程度 进行 
测量 时 ,引入 了 九 分 位 的 相对 重要 的 比例 标 度 ,构成 判断 和 矩阵。 计算 的 中 心 问题 是 求解 判断 


第 9 章 信息 系统 安全 风险 评估 255 





矩阵 的 最 大 特征 根 及 其 对 应 的 特征 向 量 ; 通过 判断 矩阵 及 和 矩阵 运算 的 数学 方法 ,确定 对 于 
上 一 层次 的 某 个 元 素 而 言 ,本 层次 中 与 其 相关 元 素 的 相对 风险 权 值 。 

(3) 层次 总 排序 ,完成 综合 判断 。 计 算 各 层 元 素 对 系统 目标 的 合成 权重 ,完成 综合 判 
断 , 进 行 总 排序 ,以 确定 递 阶 结构 图 中 最 底层 各 个 元 素 在 总 目标 中 的 风险 程度 。 


9.3 风险 评估 的 工具 


风险 评估 工具 是 风险 评估 的 辅助 手段 ,是 保证 风险 评估 结果 可 信 度 的 一 个 重要 因素 。 
风险 评估 工具 的 使 用 不 但 在 一 定 程度 上 解决 了 手动 评估 的 局 限 性 ,最 主要 的 是 它 能 够 将 专 
家 知识 进行 集中 ,使 专家 的 经 验 知识 被 广泛 应 用 。 

根据 风险 评估 过 程 中 的 主要 任务 和 作用 原理 的 不 同 ,风险 评估 工具 可 以 分 为 风险 评估 
与 管理 工具 ,系统 基础 平台 风险 评估 工具 、 风 险 评估 辅助 工具 三 类 。 风 险 评估 与 管理 工具 是 
一 套 集 成 了 风险 评估 各 类 知识 和 判断 依据 的 管理 信息 系统 ,以 规范 风险 评估 的 过 程 和 操作 
方法 ; 或 者 是 用 于 收集 评估 所 需要 的 数据 和 资料 ,基于 专家 经 验 ,对 输入 输出 进行 模型 分 
析 。 系 统 基础 平台 风险 评估 工具 主要 用 于 对 信息 系统 的 主要 部 件 (如 操作 系统 数据 库 系 
统 、 网 络 设备 等 ) 的 脆弱 性 进行 分 析 , 或 实施 基于 脆弱 性 的 攻击 。 风 险 评估 辅助 工具 则 实现 
对 数据 的 采集 、 现 状 分 析 和 趋势 分 析 等 单项 功能 ,为 风险 评估 各 要 素 的 赋值 . 定 级 提供 依据 。 

1. 风险 评估 与 管理 工具 

风险 评估 与 管理 工具 大 部 分 是 基于 某 种 标准 方法 或 某 组织 自 行 开发 的 评估 方法 ,可 以 
有 效 地 通过 输入 数据 来 分 析 风 险 ,给 出 对 风险 的 评价 并 推荐 控制 风险 的 安全 措施 。 

风险 评估 与 管理 工具 通常 建立 在 一 定 的 模型 或 算法 之 上 ,风险 由 重要 资产 .所 面临 的 威 
胁 以 及 威胁 所 利用 的 脆弱 性 三 者 来 确定 ; 也 有 的 通过 建立 专家 系统 ,利用 专家 经 验 进行 分 
析 , 给 出 专家 结论 。 这 种 评估 工具 需要 不 断 进行 知识 库 的 扩充 。 

此 类 工具 实现 了 对 风险 评估 全 过 程 的 实施 和 管理 ,包括 被 评估 信息 系统 基本 信息 获 
取 、 资 产 信息 获取 ,脆弱 性 识别 与 管理 .威胁 识别 .风险 计算 评估 过 程 与 评估 结果 管理 等 
功能 。 评 估 的 方式 可 以 通过 问卷 的 方式 ,也 可 以 通过 结构 化 的 推理 过 程 , 建 立 模型 ,输入 
相关 信息 ,得 出 评估 结论 。 通 常 这 类 工具 在 对 风险 进行 评估 后 都 会 有 针对 性 地 提出 风险 
控制 措施 。 

根据 实现 方法 的 不 同 ,风险 评估 与 管理 攻击 可 以 分 为 以 下 三 类 。 

1) 基于 信息 安全 标准 的 风险 评估 与 管理 工具 

目前 国际 上 存在 多 种 不 同 的 风险 分 析 标准 和 指南 ,不 同 的 风险 方法 侧重 点 不 同 。 以 这 
些 标准 或 指南 的 内 容 为 基础 ,分 别 开 发 相应 的 评估 工具 ,完成 遵循 标准 或 指南 的 风险 评估 
过 程 。 

2) 基于 知识 的 风险 评估 与 管理 工具 

基于 知识 的 风险 评估 与 管理 工具 并 不 仅仅 遵循 某 个 单一 的 标准 或 指南 ,而 是 将 各 种 风 
险 分 析 方法 进行 综合 ,并 结合 实践 经 验 , 形 成 风险 评估 知识 库 ,以 此 为 基础 完成 综合 评估 。 
它 还 涉及 来 自 类 似 组 织 (包括 规模 、 商 务 目标 和 市 场 等 ) 的 最 佳 实践 ,主要 通过 多 种 途径 采集 
相关 信息 ,识别 组 织 的 风险 和 当前 的 安全 措施 ; 与 特定 的 标准 或 最 佳 实践 进行 比较 ,从 中 找 
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出 不 符合 的 地 方 ,按照 标准 或 最 佳 实践 的 推荐 选择 安全 措施 以 控制 风险 。 

3) 基于 模型 的 风险 评估 与 管理 工具 

基于 标准 或 基于 知识 的 风险 评估 与 管理 工具 ,都 使 用 了 定性 分 析 方 法 或 定量 分 析 方 法 ， 
或 者 将 定性 与 定量 相 结合 。 定 性 分 析 方 法 是 目前 广泛 采用 的 方法 ,需要 凭借 评估 者 的 知识 、 
经 验 和 直觉 ,或 者 业界 的 标准 和 实践 ,为 风险 的 各 个 要 素 定 级 。 定 性 分 析 法 操作 相对 容易 ， 
但 也 可 能 因为 评估 者 经 验 和 直觉 的 偏差 而 使 分 析 结 果 失 准 。 定 量 分 析 则 对 构成 风险 的 各 个 
要 素 和 潜在 损失 水 平 赋予 数值 或 货币 金额 ,通过 对 度量 风险 的 所 有 要 素 进行 赋值 ,建立 综合 
评价 的 数学 模型 ,从 而 完成 风险 评估 的 量化 计算 。 定 量 分 析 方 法 准确 ,但 前 期 建立 系统 风险 
模型 较 困难 。 定 性 与 定量 结合 分 析 方 法 就 是 将 风险 要 素 的 赋值 和 计算 ,根据 需要 分 别 采取 
定性 和 定量 的 方法 完成 。 基 于 模型 的 风险 评估 与 管理 工具 是 在 对 系统 各 组 成 部 分 、 安 全 要 
素 充 分 研究 的 基础 上 ,对 典型 系统 的 资产 ,威胁 脆弱 性 建立 量化 或 半 量 化 的 模型 ,根据 采集 
信息 的 输入 ,得 到 评价 的 结果 。 

2. 系统 基础 平台 风险 评估 工具 

系统 基础 平台 风险 评估 工具 包括 脆弱 性 扫描 工具 和 渗透 性 测试 工具 。 脆 弱 性 扫描 工具 
又 称 为 安全 扫描 器 漏洞 扫描 仪 等 ,主要 用 于 识别 网 络 .操作 系统 .数据 库 系统 的 脆弱 性 。 通 
常情 况 下 ,这 些 工 具 能 够 发 现 软件 和 硬件 中 已 知 的 脆弱 性 ,以 决定 系统 是 否 易 受 已 知 攻击 的 
影响 。 

脆弱 性 扫描 工具 是 目前 应 用 最 广泛 的 风险 评估 工具 ,主要 完成 操作 系统 、 数 据 库 系统 、 
网 络 协 议 、 网 络 服务 等 的 安全 脆弱 性 检测 功能 ,目前 常见 的 脆弱 性 扫描 工具 有 以 下 几 种 
类 型 。 

(1) 基于 网 络 的 扫描 器 : 在 网 络 中 运行 ,能 够 检测 如 防火 墙 错误 配置 或 连接 到 网 络 上 
的 易 受 攻击 的 网 络 服务 器 的 关键 漏洞 。 

(2) 基于 主机 的 扫描 器 : 发 现 主机 的 操作 系统 、 特 殊 服务 和 配置 的 细节 ,发 现 潜 在 的 用 
户 行为 风险 ,如 密码 强度 不 够 ,也 可 实施 对 文件 系统 的 检查 。 

(3) 分 布 式 网 络 扫描 器 : 由 远程 扫描 代理 、 对 这 些 代理 的 即 插 即 用 更 新 机 制 、 中 心 管理 
点 三 部 分 构成 ,用 于 企业 级 网 络 的 脆弱 性 评估 ,分 布 和 位 于 不 同 的 位 置 、 城 市 甚至 不 同 的 
国家 








(4) 数据 库 脆弱 性 扫描 器 : 对 数据 库 的 授权 .认证 和 完整 性 进行 详细 的 分 析 ,也 可 以 识 
别 数据 库 系统 中 潜在 的 脆弱 性 。 

渗透 性 测试 工具 是 根据 脆弱 性 扫描 工具 扫描 的 结果 进行 模拟 攻击 测试 ,判断 被 非法 访 
问 者 利用 的 可 能 性 。 这 类 工具 通常 包括 黑客 工具 、 肚 本 文件 。 渗 透 性 测试 的 目的 是 检测 已 
发 现 的 脆弱 性 是 否 真 的 会 给 系统 或 网 络 带 来 影响 。 通 常 渗透 性 工具 与 脆弱 性 扫 撒 工具 一 起 
使 用 ,并 可 能 会 对 被 评估 系统 的 运行 带 来 一 定 影响 。 

3. 风险 评估 辅助 工具 

科学 的 风险 评估 需要 大 量 的 实践 和 经 验 数 据 的 支持 ,这 些 数据 的 积累 是 风险 评估 科学 
性 的 基础 。 风 险 评估 过 程 中 ,可 以 利用 一 些 辅助 性 的 工具 和 方法 来 采集 数据 ,帮助 完成 现状 
分 析 和 趋势 判断 ,列举 如 下 。 
(1) 检查 列表 : 检查 列表 是 基于 特定 标准 或 基线 建立 的 ,对 特定 系统 进行 审查 的 项 


第 9 章 信息 系统 安全 风险 评估 257 





目 条 款 。 通 过 检查 列表 ,操作 者 可 以 快速 定位 系统 目前 的 安全 状况 与 基线 要 求 之 间 的 
差距 。 

(2) 入 侵 检 测 系 统 : 入 侵 检 测 系 统 通过 部 署 检测 引擎 ,收集 、 处 理 整 个 网 络 中 的 通信 信 
息 ,以 获取 可 能 对 网 络 或 主机 造成 危害 的 入 侵 攻 击 事件 ; 帮助 检测 各 种 攻击 试探 和 误 操作 ， 
同时 也 可 以 作为 一 个 警报 器 ,提醒 管理 员 发 生 的 安全 状况 。 

(3) 安全 审计 工具 : 用 于 记录 网 络 行为 ,分 析 系统 或 网 络 安全 现状 , 它 的 审计 记录 可 以 
作为 风险 评估 中 的 安全 现状 数据 ,并 可 用 于 判断 被 评估 对 象 威胁 信息 的 来 源 。 

(4) 拓扑 发 现 工具 : 通过 接 人 点 接 人 被 评估 网 络 ,完成 被 评估 网 络 中 的 资产 发 现 功能 ， 
并 提供 网 络 资产 的 相关 信息 ,包括 操作 系统 版 本 ,型 号 等 。 拓 扑 发 现 工具 的 主要 功能 是 自动 
完成 网 络 硬件 设备 的 识别 发现。 

(5) 资产 信息 收集 系统 : 通过 提供 调查 表 形 式 , 完 成 被 评估 信息 系统 数据 ,管理 .人 员 
等 资产 信息 的 收集 功能 ,了 解 到 组 织 的 主要 业务 .重要 资产 .威胁 ,管理 上 的 缺陷 .采用 的 控 
制 措施 和 安全 策略 的 执行 情况 。 此 类 系统 主要 采取 电子 调查 表 形式 ,需要 被 评估 管理 系统 
人 员 参 与 填写 ,并 自动 完成 资产 信息 获取 。 

(6) 其 他 : 如 用 于 评估 过 程 参 考 的 评估 指标 库 、 知 识 库 ,漏洞 库 、 算 法 库 、 模 型 库 等 。 

风险 评估 最 常用 的 还 是 一 些 专用 的 自动 化 风险 评估 工具 ,下 面 介绍 几 款 典型 的 风险 评 
估 工 具 。 


9.3.1 SAFESuite 套件 


SAFESuite 套件 是 Internet Security Systems( 简 称 ISS) 公 司 开 发 的 网 络 脆弱 点 检测 软 
件 , 它 由 Internet 扫描 器 .系统 扫描 器 数据 库 扫描 器 、 实 时 监控 和 SAFESuite 套件 决策 软 
件 构成 ,是 一 个 完整 的 信息 系统 评估 系统 。 


9.3.2 WebTrends Security Analyzer 套件 


WebTrends Security Analyzer 套件 主要 针对 Web 站 点 安全 的 检测 和 分 析 软 件 , 它 是 
NetIQ-WebTrends 公司 的 系列 产品 。 其 系列 产品 为 企业 提供 一 套 完 整 的 .可 升级 的 、 模 块 
式 的 ,易于 使 用 的 解决 方案 。 产 品系 列 包 括 WebTrends Reporting Center、Analysis Suite、 
WebTrends Log Analyzer, Security Analyzer、 WebTrends, Firewall Suite and WebTrends 
Live 等 , 它 可 以 找 出 大 量 隐藏 在 Linux 和 Windows 服务 器 ,防火墙 .路 由 器 等 软件 中 的 威胁 
和 脆弱 点 ,并 可 针对 Web 和 防火 墙 日 志 进 行 分 析 , 由 它 生 成 的 HTML 格式 的 报告 被 认为 是 
目前 市 场 上 做 得 最 好 的 。 报 告 里 对 找到 的 每 个 脆弱 点 进行 了 说 明 ,并 根据 脆弱 点 的 优先 级 
进行 了 分 类 ,还 包括 一 些 消除 风 险 、 保 护 系统 的 建议 。 


9.3.3 Cobra 


Cobra(Consultative Objective and Bi-funchtional Risk Analysis) 是 一 套 专 门 用 于 进行 
风险 分 析 的 工具 软件 ,其 中 也 包含 促进 安全 策略 执行 、 外 部 安全 标准 (ISO 17799) 评 定 的 功 
能 模块 。 用 Cobra 进行 风险 分 析 时 ,分 三 个 步骤 : 调查 表 生 成 .风险 调查 .报告 生成 。Cobra 
的 操作 过 程 简单 而 灵活 ,安全 分 析 人 员 只 需要 清楚 当前 的 信息 系统 状况 ,并 对 之 作出 正确 的 
解释 即 可 ,所 有 烦琐 的 分 析 工 作 都 交 由 Cobra 来 自动 完成 。 
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9.3.4 CC tools 


CC tools 是 针对 CC 开发 的 工具 , 它 帮 助 用 户 按照 CC 标准 自动 生成 PP( 保 护 轮廓 ) 和 
ST( 安 全 目标 ) 报 告 。 

以 上 这 些 工 具有 的 是 通过 技术 手段 ,如 漏洞 扫描 、 入 侵 检测 等 来 维护 信息 系统 的 安全 ; 
有 的 是 依据 评估 标准 而 开发 的 ,如 Cobra。 不 可 否认 ,这 些 工具 的 使 用 会 丰富 评估 所 需 的 系 
统 脆弱 、 威 胁 信 息 、 简 化 评估 的 工作 量 ,减少 评估 过 程 中 的 主观 性 ,但 无 论 这 些 工具 的 功能 多 
么 强大 ,由 于 信息 系统 风险 评估 的 复杂 性 , 它 在 信息 系统 的 风险 评估 过 程 中 也 只 能 作为 辅助 
手段 ,代替 不 了 整个 风险 评估 过 程 。 


9.4 风险 评估 的 过 程 


风险 评估 过 程 就 是 在 评估 标准 的 指导 下 ,综合 利用 相关 评估 技术 、` 评 估 方 法 .评估 工具 ， 
针对 信息 系统 展开 全 方位 评估 工作 的 完整 历程 。 风 险 评估 在 具体 实施 中 一 般 包括 风险 评估 
的 准备 活动 ,对 信息 系统 资产 ,面临 威胁 ,存在 的 脆弱 性 的 识别 ,对 已 采取 安全 措施 的 确认 ,对 
可 能 存在 的 信息 安全 风险 的 识别 等 环节 ,如 图 9. 1 所 示 , 下 面 对 各 具体 步骤 进行 详细 介绍 。 
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图 9.1 风险 评估 的 过 程 


9.4.1 风险 评估 的 准备 


《信息 安全 评估 规范 ?指出 :“ 组 织 实施 风险 评估 是 一 种 战略 性 的 考虑 ,其 结果 将 受到 组 
织 业 务 战略 、 业 务 流程 ,安全 需求 系统 规模 和 机 构 等 方面 的 影响 ”。 信 息 安全 风险 评估 不 只 
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是 单纯 针对 信息 系统 或 信息 资产 本 身 , 它 是 通过 一 种 系统 化 的 方式 ,综合 分 析 资 产 .威胁 、 脆 
弱 性 以 及 已 有 安全 控制 措施 之 间 的 内 在 关系 ,探求 信息 资产 的 安全 属性 丧失 后 ,对 被 评估 组 
织 ( 关 键 业务 、 外 部 声誉 等 方面 ) 所 造成 的 影响 。 

信息 安全 风险 评估 是 一 项 复杂 的 、 系 统 化 的 活动 ,为 了 保证 评估 过 程 的 可 控 性 以 及 评估 
结果 的 客观 性 ,在 风险 评估 实施 前 应 进行 充分 准备 和 准确 计划 。 按 照 (信息 安全 风险 评估 规 
范 》, 评 估 准 备 阶 段 至 少 包 括 以 下 活动 。 

1. 确定 风险 评估 的 目标 

信息 安全 需求 是 一 个 组 织 为 保证 其 业务 正常 有效 运转 而 必须 达到 的 信息 安全 要 求 , 通 
过 分 析 组 织 必须 符合 的 相关 法 律 法 规 、 组 织 在 业务 流程 中 对 信息 安全 的 机 密 性 ,完整 性 、 可 
用 性 等 方面 的 需求 ,来 确定 风险 评估 的 目标 。 

2. 确定 风险 评估 的 范围 

风险 评估 的 范围 可 能 是 组 织 全 部 的 信息 及 与 信息 处 理 相关 的 各 类 资产 ,管理 机 构 , 也 可 
能 是 某 个 独立 的 信息 系统 、 关 键 业 务 流程 与 客户 知识 产权 相关 的 系统 或 部 门 等 。 

实施 一 次 风险 评估 的 范围 可 大 可 小 ,需要 根据 具体 评估 需求 确定 ,可 以 对 组 织 全 部 的 信 
息 系统 进行 评估 ,也 可 以 仅 对 关键 业务 流程 进行 评估 ,也 可 以 对 组 织 关键 部 门 的 信息 系统 进 
行 评 估 。 

3. 组 建 评 估 管 理 团队 和 评估 实施 团队 

在 确定 风险 评估 的 目标 、. 范 围 后 ,需要 组 建 风险 评估 团队 ,具体 执行 组 织 的 风险 评估 。 
由 于 风险 评估 涉及 组 织 管理 .业务 .信息 资 产 等 各 个 方面 ,因此 风险 评估 团队 中 除了 信息 安 
全 风险 评估 专业 人 员外 ,还 需要 有 组 织 管理 层 ` 相 关 业 务 骨 干 、 信 息 安全 运营 管理 人 员 等 的 
参与 ,以 便 更 好 地 了 解 组 织 信息 安全 状况 ,以 利于 风险 评估 的 实施 。 必 要 时 ,可 组 建 由 评估 
方 ,被 评估 方 领导 和 相关 部 门 负责 人 参加 的 风险 评估 领导 小 组 ,聘请 相关 专业 的 技术 专家 和 
技术 骨干 组 成 专家 小 组 。 

评估 实施 团队 应 做 好 评估 前 的 表格 ,文档 、 检 测 工具 等 各 项 准备 工作 ,进行 风险 评估 技 
术 培 训 和 保密 教育 ,制定 风险 评估 过 程 管理 相关 规定 。 可 根据 被 评估 方 要 求 ,双方 签署 保密 
合同 ,必要 时 签署 个 人 保密 协议 。 

4. 进行 系统 调研 

在 确定 了 风险 评估 的 目标 .范围 .团队 后 ,要 进行 系统 调研 ,系统 调研 是 确定 被 评估 对 象 
的 过 程 , 风 险 评估 小 组 应 进行 充分 的 系统 调研 ,为 风险 评估 依据 和 方法 的 选择 .评估 内 容 的 
实施 葛 定 基础 。 系 统 调研 内 容 包 括 : 

(1) 组 织 业 务 战略 , 即 主要 业务 职能 及 未 来 发 展 规划 ; 

(2) 组 织 管理 制度 ; 

(3) 主要 业务 功能 和 要 求 ; 

(4) 网 络 结构 与 网 络 环境 ,包括 内 部 连接 和 外 部 连接 ; 

(5) 系统 边界 ; 

(6) 主要 硬件 、 软 件 ; 

(7) 数据 和 信息 ; 

(8) 系统 和 数据 的 敏感 性 ; 
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(9) 系统 使 用 人 员 ; 

(10) 其 他 。 

系统 调研 可 以 采用 问卷 调查 、 现 场 访谈 等 方法 进行 。 

5. 确定 评估 标准 和 方法 

项 目 实施 过 程 中 ,应 依据 现 有 国际 或 国家 信息 安全 标准 ,保证 评估 的 规范 性 。 同 时 参考 
相关 的 行业 标准 或 组 织 自 身 的 策略 ,增强 风险 评估 的 针对 性 。 

根据 评估 依据 ,并 综合 考虑 评估 的 目的 ,范围 .时 间 、 效 果 、 评 估 人 员 素 质 等 因素 ,选择 具 
体 的 风险 计算 方法 ,并 依据 组 织 业务 实施 对 系统 安全 运行 的 需求 ,确定 相关 的 评估 判断 依 
据 , 使 之 能 够 与 组 织 环境 和 安全 要 求 相 适应 。 

6. 获得 最 高 管理 者 对 风险 评估 工作 的 支持 

就 上 述 内 容 形 成 较为 完整 的 风险 评估 实施 方案 ,并 报 组 织 最 高 管理 者 批准 ,以 获得 其 对 
风险 评估 方案 的 支持 ,同时 在 组 织 范围 内 就 风险 评估 相关 内 容 对 管理 者 和 技术 人 员 进 行 培 
训 , 以 明确 有 关 人 员 在 风险 评估 中 的 任务 。 


9.4.2 资产 识别 


资产 (Asset) 是 指 对 组 织 具 有 价值 的 信息 或 资源 ,是 安全 策略 保护 的 对 象 。 安 全 评估 
需要 确定 信息 系统 的 资产 ,并 明确 资产 的 价值 ,因为 价值 不 同 将 导致 风险 值 不 同 ,资产 的 
价值 不 是 以 资产 的 经 济 价值 来 衡量 的 ,而 是 由 资产 在 机 密 性 ,完整 性 和 可 用 性 这 三 个 安 
全 属性 上 达成 的 程度 或 者 其 安全 属性 未 达成 时 所 造成 的 影响 程度 来 决定 的 。 安 全 属性 
达成 的 程度 的 不 同 将 使 资产 具有 不 同 的 价值 ,而 资产 面临 的 威胁 、 存 在 的 脆弱 性 ,以 及 已 
采用 的 安全 措施 都 将 对 资产 安全 属性 的 达成 程度 产生 影响 。 为 此 ,应 对 组 织 中 的 资产 进行 
识别 。 

资产 的 范围 很 广 ,一 切 需 要 加 以 保护 的 东西 都 算 作 资产 ,包括 信息 资产 \ 纸 质 文件 ,软件 
资产 ,物理 资产 、 人 员 、 公 司 形象 和 声誉 、 服 务 等 。 资 产 的 评估 应 当 从 关键 业务 开始 ,最 终 覆 
盖 所 有 的 关键 资产 。 对 于 提供 多 种 业务 的 组 织 , 其 支持 业务 持续 运行 的 系统 数量 可 能 很 多 ， 
首先 需要 将 信息 系统 中 的 资产 进行 恰当 的 分 类 。 

1. 资产 分 类 


在 实际 工作 中 ,具体 的 资产 分 类 方法 可 以 根据 具体 的 评估 对 象 和 要 求 , 由 评估 者 灵活 把 
握 。 根 据 资产 的 表现 形式 ,可 将 资产 分 为 数据 ,软件 .硬件 .文档 .服务 .人 员 等 类 型 。 表 9. 1 
列 出 了 一 种 资产 分 类 的 方法 。 
表 9.1 一 种 基于 表现 形式 的 资产 分 类 方法 
分 类 示 例 
数据 ”保存 在 信息 媒介 上 的 各 种 数据 资料 ,包括 源 代码 .数据库 数 据 、 系 统 文档 \ 运 行 管理 规范 、 计 划 、 报 
告 . 用 户 手 册 、 各 类 纸 质 文档 等 
软件 ”系统 软件 : 操作 系统 、 数 据 库 管理 系统 、 语 言 包 工具 软件 、 各 种 库 等 
应 用 软件 : 办 公 软 件 、 各 类 工具 软件 等 
源 程序 : 各 种 共享 源 代码 、 自 行 或 合作 开发 的 各 种 代码 等 
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续 表 
分 类 示 例 
硬件 ”网络 设备 : 路 由 器 、 网 关 、 交 换 机 等 
计算 机 设备 : 大 型 机 、 小 型 机 、 服 务 器 \ 工 作 站 、 台 式 计 算 机 便携 计算 机 等 
存储 设备 : 磁带 机 、 磁 盘 阵 列 、 磁 带 、 光 盘 、 软 盘 、 移 动 硬盘 等 
传输 线路 : 光纤 、 双 绞 线 等 
保障 设备 : UPS、 变 电 设备 空调、 保险 柜 , 文 件 柜 、 门 禁 、 消 防 设施 等 
安全 设备 : 防火 墙 , 人 侵 检 测 系统 .身份 鉴别 等 
其 他 : 打印 机 、 复 印 机 、 扫 描 仪 . 传 真 机 等 
服务 ”办 公 服 务 : 为 提高 效率 而 开发 的 管理 信息 系统 ,包括 各 种 内 部 配置 管理 ,文件 流转 管理 等 服务 
网 络 服务 : 各 种 网 络 设备 、 设 施 提供 的 网 络 连 接 服务 
信息 服务 : 对 外 依赖 该 系统 开展 的 各 类 服务 
文档 ” 纸 质 的 各 种 文件 ,如 传真 电报、 财务 报告 ,发展 计划 等 
人 员 ”掌握 重要 信息 和 核心 业务 的 人 员 , 如 主机 维护 主管 .网 络 维护 主管 及 应 用 项 目 经 理 等 
其 他 ”企业 形象 ,客户 关系 等 





2. 资产 赋值 

对 资产 的 赋值 不 仅 要 考虑 资产 的 经 济 价值 ,更 重要 的 是 要 考虑 资产 的 安全 状况 , 即 资产 
的 机 密 性 、 完 整 性 和 可 用 性 ,对 组 织 信息 安 全 性 的 影响 程度 。 举 个 例子 来 说 ,美国 微软 公司 
若 丢 失 了 一 台 存 有 最 新 版 本 Windows 操作 系统 源 代码 的 笔记 本 电脑 ,这 个 电脑 丢失 事件 的 
发 生 对 微软 公司 业务 造成 的 损失 要 比 资产 本 身 ( 笔 记 本 电脑 ) 的 价值 要 大 得 多 。 资 产 赋值 的 
过 程 也 就 是 对 资产 在 机 密 性 ,完整 性 和 可 用 性 上 的 要 求 进行 分 析 , 并 在 此 基础 上 得 出 综合 结 
果 的 过 程 。 资 产 对 机 密 性 、 完 整 性 和 可 用 性 上 的 要 求 可 由 安全 属性 缺失 时 造成 的 影响 来 表 
示 , 这 种 影响 可 能 造成 某 些 资产 的 损害 以 致 危及 信息 系统 ,还 可 能 导致 经 济 利益 .市场 份额 、 
组 织 形象 的 损失 。 

1) 机 密 性 赋值 

根据 资产 在 机 密 性 上 的 不 同 要 求 , 将 其 分 为 5 个 不 同 的 等 级 ,分 别 对 应 资产 在 机 密 性 缺 
失 时 对 整个 组 织 的 影响 , 表 9. 2 提供 了 一 种 机 密 性 赋值 的 参考 。 

表 9.2 资产 保密 性 赋值 表 
赋值 。 标识 定 义 
5 很 高 ”包含 组 织 最 重要 的 秘密 ,关系 未 来 发 展 的 前 途 命运 ,对 组 织 根本 利益 有 着 决定 性 的 影 
响 ,如 果 泄 露 会 造成 灾难 性 的 损害 

4 高 。 包含 组 织 的 重要 秘密 ,如 果 泄 露 会 使 组 织 的 安全 和 利益 遭受 严重 损害 

中 等 ”包含 组 织 的 一 般 性 秘密 ,如 果 泄 露 会 使 组 织 的 安全 和 利益 受到 损害 

2 低 。” 仅 能 在 组 织 内 部 或 组 织 某 一 部 门 内 部 公开 的 信息 ,向 外 扩散 有 可 能 对 组 织 的 利益 造 

成 轻微 损害 
1 很 低 ”可 对 社会 公开 的 信息 、 公 用 的 信息 处 理 设备 和 系统 资源 





2) 完整 性 赋值 
根据 资产 在 完整 性 上 的 不 同 要 求 , 将 其 分 为 5 个 不 同 的 等 级 ,分 别 对 应 资产 在 完整 性 缺 
失 时 对 整个 组 织 的 影响 , 表 9. 3 提供 了 一 种 完整 性 赋值 的 参考 。 
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表 9.3 资产 完整 性 赋值 表 
赋值 ”标识 定义 
5 很 高 ”完整 性 价值 非常 关键 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 重大 的 或 无 法 接受 的 影 


响 , 对 业务 冲击 很 大 ,并 可 能 造成 严重 的 业务 中 断 ,损失 难以 弥补 
4 高 。 完整 性 价值 较 高 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 重大 影响 ,对 业务 冲击 严重 ， 





损失 较 难 弥补 

3 中 等 “完整 性 价值 中 等 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 影响 ,对 业务 冲击 明显 ,但 损 
失 可 以 弥补 

区 低 完整 性 价值 较 低 , 未 经 授权 的 修改 或 破坏 会 对 组 织造 成 轻微 影响 ,对 业务 冲击 轻微 ， 
损失 容易 弥补 

1 很 低 ”完整 性 价值 非常 低 , 未 经 授权 的 修改 或 破坏 会 对 组 织造 成 的 影响 可 以 忽略 ,对 业务 冲 
击 可 以 忽略 

3) 可 用 性 赋值 表 


根据 资产 在 可 用 性 上 的 不 同 要 求 , 将 其 分 为 5 级 ,分 别 对 应 资产 在 可 用 性 上 缺失 时 对 整 
个 组 织 的 影响 。 表 9. 4 提供 了 一 种 可 用 性 赋值 的 参考 。 


表 9.4 资产 可 用 性 赋值 表 


赋值 ”标识 定 义 

5 很 高 ”可 用 性 价值 非常 高 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 达 到 年 度 99. 9% 以 上 ， 
或 系统 不 允许 中 断 

4 高 可 用 性 价值 较 高 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 达到 每 天 90% 以 上 ,或 系 
统 允 许 中 断 时 间 小 于 10min 

3 中 等 ”可 用 性 价值 中 等 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 在 正常 工作 时 间 达 到 70% 
以 上 ,或 系统 允许 中 断 时 间 小 于 30min 

2 低 ”可 用 性 价值 较 低 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 在 正常 工作 时 间 达 到 25% 
以 上 ,或 系统 允许 中 断 时 间 小 于 60min 

1 很 低 ”可 用 性 价值 可 以 忽略 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 在 正常 工作 时 间 低 
于 人 5 多 





4) 资产 重要 性 等 级 

资产 价值 应 根据 资产 在 机 密 性 、 完 整 性 和 可 用 性 上 的 赋值 等 级 ,经 过 综合 评定 得 出 。 综 
合 评定 方法 可 以 选择 对 资产 机 密 性 、 完 整 性 和 可 用 性 最 为 重要 的 一 个 属性 的 赋值 等 级 作为 
资产 的 最 终 赋值 结果 ,也 可 以 根据 资产 机 密 性 、 完 整 性 和 可 用 性 赋值 进行 加 权 计 算得 到 资产 
的 最 终 赋值 结果 。 加 权 方 法 可 根据 组 织 的 业务 特点 确定 ,在 不 同 的 行业 中 ,因为 业务 、 职 能 
和 行业 背景 千差万别 ,信息 安全 的 目标 和 安全 保障 的 要 求 也 截然 不 同 ,例如 电信 运营 商 最 关 
注 可 用 人性、 金融 行业 最 关注 完整 性 ,政府 涉 密 部 门 最 关注 保密 性 ,这 时 机 密 性 、 完 整 性 和 可 用 
性 三 者 的 权 值 就 会 相差 很 大 。 

为 与 上 述 安全 属性 的 赋值 相对 应 ,根据 最 终 赋值 将 资产 划分 为 5 级 ,级 别 越 高 标识 资产 
越 重要 ,也 可 以 根据 组 织 的 实际 情况 确定 资产 识别 中 的 赋值 依据 和 等 级 。 表 9. 5 中 的 资产 
等 级 划分 表明 了 不 同等 级 的 重要 性 的 综合 描述 。 评 估 者 可 根据 资产 赋值 结果 ,确定 重要 资 
产 的 范围 ,并 围绕 重要 资产 进行 下 一 步 的 风险 评估 。 
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表 9.5 资产 重要 性 等 级 
赋值 。 标识 定义 
很 高 ”非常 重要 ,其 安全 属性 破坏 后 可 能 会 对 组 织造 成 非常 严重 的 损失 
高 。 重要 ,其 安全 属性 破坏 后 可 能 会 对 组 织造 成 比较 严重 的 损失 
中 等 。 比较 重要 ,其 安全 属性 破坏 后 可 能 会 对 组 织造 成 中 等 严重 的 损失 
低 。 不 太 重要 ,其 安全 属性 破坏 后 可 能 会 对 组 织造 成 较 低 的 损失 


很 低 ”不 重要 ,其 安全 属性 破坏 后 可 能 会 对 组 织造 成 很 小 的 损失 ,甚至 可 以 忽略 不 计 





NWRa 


9.4.3 威胁 识别 


1. 威胁 分 类 

威胁 评估 是 对 信息 资产 有 可 能 受到 的 危害 进行 分 析 ,一般 可 从 威胁 来 源 、 威 胁 途 径 、 威 
胁 意图 、 损 失 等 几 个 方面 来 分 析 。 威 胁 可 能 源 于 对 信息 系统 直接 或 间接 的 攻击 ,例如 非 授 权 
的 泄露 , 自 改 、 删 除 等 ,也 可 能 源 于 偶发 的 或 蓄意 的 事件 。 一 般 来 说 ,威胁 总 是 要 利用 网 络 中 
的 系统 、 应 用 或 服务 的 弱点 才 可 能 成 功 地 对 资产 造成 伤害 。 造 成 威胁 的 因素 可 分 为 人 为 因 
素 和 环境 因素 。 根 据 威胁 的 动机 ,人 为 因素 又 可 分 为 恶意 和 非 恶 意 两 种 。 环 境 因 素 包 括 自 
然 界 不 可 抗力 的 因素 和 其 他 物理 因素 。 

威胁 作用 形式 可 以 是 对 信息 系统 直接 或 间接 的 攻击 ,也 可 能 是 偶发 的 或 蓄意 的 安全 事 
件 , 都 会 在 信息 的 机 密 性 、 完 整 性 或 可 用 性 等 方面 造成 损害 。 对 威胁 进行 分 类 的 方式 有 多 
种 ,可 以 根据 其 来 源 、 表 现形 式 等 对 威胁 进行 分 类 , 表 9.6 提供 了 一 种 基于 表现 形式 的 威胁 
分 类 方法 。 





表 9.6 威胁 分 类 
种 类 描 述 威胁 子 类 
软 硬 件 故障 由 于 设备 硬件 故障 、 通 信和 链 路 中 断 、 系 统 本 ”设备 硬件 故障 、 传 输 设 备 故障 、 存 储 设备 
身 或 软件 缺陷 造成 对 业务 实施 、 系 统 稳定 运 故障 、 系 统 软 件 故障 、 应 用 软件 故障 、 数 
行 的 影响 据 库 软件 故障 、 开 发 环境 故障 
物理 环境 影响 ”对 信息 系统 正常 运行 造成 影响 的 物理 环境 断 电 、 静 电 、 灰 尘 \ 湿 潮 \ 温 度 、 鼠 蚁 虫害 、 
问题 和 自然 灾害 电磁 干扰 ,洪灾 、 火 灾 、 地 震 
无 作为 或 操作 ”由 于 应 该 执行 而 没有 执行 相应 的 操作 ,或 无 ”维护 错误 、 操 作 失 误 
失误 意 地 执行 了 错误 的 操作 ,对 系统 造成 的 影响 
管理 不 到 位 安全 管理 措施 没有 落实 ,造成 安全 管理 不 规 ”管理 制度 和 策略 不 完善 管理 规程 缺失 、 
范 ,或 者 管理 混乱 ,从 而 破坏 信息 系统 正常 ”职责 不 明确 ,监督 控 管 机 制 不 健全 等 
有 序 进 行 
恶意 代码 故意 在 计算 机 上 执行 恶意 任务 的 程序 代码 ”网络 病毒 、 间 谍 软 件 、 窃 听 软 件 、 蠕 虫 等 
越权 或 滥用 通过 采用 一 些 措施 ,超越 自己 的 权限 访问 资 ” 非 授权 访问 网 络 资源 、 非 授权 访问 系统 
源 , 或 者 滥用 职权 做 出 破坏 信息 系统 的 行为 ”资源 ,滥用 权限 非 正常 修改 系统 配置 或 
数据 \ 滥 用 权限 泄露 秘密 信息 
网 络 攻击 利用 工具 和 技术 ,对 信息 系统 进行 攻击 和 ”网络 探测 和 信息 采集 、 漏 洞 探测 、 嗅 探 


入 侵 


(账号 .口令 ,权限 等 )、 用 户 身 份 伪造 和 
欺骗 用户 或 业务 数据 的 窃取 和 破坏 、 系 


统 运行 的 控制 和 破坏 等 
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续 表 
种 类 描述 威胁 子 类 
物理 攻击 通过 物理 的 接触 造成 对 软件 硬件、 数据 的 ”物理 接触 物理 破坏 、 窃 取 等 
破坏 
泄密 信息 泄露 给 不 应 了 解 的 他 人 内 部 信息 泄露 .外 部 信息 泄露 等 
算 改 非法 修改 信息 ,破坏 信息 的 完整 性 使 系统 的 ” 臭 改 网 络 配置 信息 、 算 改 系 统 配 置信 息 、 
安全 性 降低 或 信息 不 可 用 算 改 安全 配置 信息 、 臭 改 用 户 身 份 信息 
或 业务 数据 信息 等 
抵赖 不 承认 收 到 的 信息 和 所 作 的 操作 和 交易 原 发 抵赖 、 接 收 抵赖 、 第 三 方 抵赖 等 
2. 威胁 赋值 


威胁 出 现 的 频率 是 衡量 威胁 严重 程度 的 重要 因素 ,因此 威胁 识别 后 需要 对 威胁 频率 进 
行 赋值 ,以 带 入 最 后 的 风险 计算 中 。 

评估 者 应 根据 经 验 和 有 关 统 计数 据 来 对 威胁 频率 进行 赋值 ,威胁 赋值 中 需要 综合 考虑 
以 下 三 方面 因素 ,以 形成 在 某 种 评估 环境 中 各 种 威胁 出 现 的 频率 。 

(1) 以 往 安全 事件 报告 中 出 现 的 威胁 及 其 频率 的 统计 ; 

(2) 实际 环境 中 通过 检测 工具 以 及 各 种 日 志 发 现 的 威胁 及 其 频率 的 统计 ; 

(3) 近 一 两 年 来 国际 组 织 发 布 的 对 于 整个 社会 或 特定 行业 的 威胁 及 其 频率 统计 ,以 及 
发 布 的 威胁 预警 。 

可 以 对 威胁 出 现 的 频率 进行 等 级 化 处 理 , 不 同等 级 分 别 代表 威胁 出 现 的 频率 的 高 低 。 
等 级 数值 越 大 ,威胁 出 现 的 频率 越 高 。 

表 9.7 提供 了 威胁 出 现 频率 的 一 种 赋值 方法 。 在 实际 的 评估 中 ,威胁 频率 的 判断 应 根 
据 历史 统计 或 行业 判断 ,在 评估 准备 阶段 确定 ,并 得 到 被 评估 方 的 认可 。 





表 9.7 威胁 赋值 
赋值 ”标识 定义 
5 很 高 “出现 的 频率 很 高 (或 过 1 次 / 周 ); 或 在 大 多 数 情况 下 几乎 不 可 避免 ; 或 可 以 证 实 经 常 
发 生 
4 高 出 现 的 频率 较 高 (或 之 1 次 /月 ); 或 在 大 多 数 情况 下 很 有 可 能 发 生 ; 或 可 以 证 实 多 次 
发 生 


3 中 等 ”出现 的 频率 较 中 等 (或 过 1 次 /半年 ); 或 在 某 种 情况 下 可 能 发 生 ; 或 被 证 实 曾经 发 生 
2 低 出 现 的 频率 较 小 ; 或 一 般 不 太 可 能 发 生 ; 或 没有 被 证 实 发 生 过 
很 低 ”威胁 几乎 不 可 能 发 生 , 仅 可 能 在 非常 军 见 和 例外 的 情况 下 发 生 


9.4.4 脆弱 性 识别 


脆弱 性 评估 是 指 通过 各 种 测试 方法 ,获得 信息 资产 中 所 存在 的 缺陷 清单 。 脆 弱 性 是 资 
产 本 身 存在 的 ,如 果 没 有 被 相应 的 威胁 利用 ,单纯 的 脆弱 性 本 身 不 会 对 资产 造成 损害 。 而 且 
如 果 系 统 足 够 强健 ,即使 是 严重 的 威胁 也 不 会 导致 安全 事件 发 生 , 即 威胁 总 是 利用 资产 的 脆 
弱 性 才 可 能 造成 危害 。 

资产 的 脆弱 性 具有 隐蔽 性 ,有 些 脆 弱 性 只 有 在 一 定 的 条 件 和 环境 下 才能 显现 ,这 是 脆弱 
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性 识别 中 最 为 困难 的 部 分 。 脆 弱 性 识别 是 风险 评估 中 最 重要 的 一 个 环节 。 脆 弱 性 识别 可 以 
以 资产 为 核心 ,针对 每 一 项 需要 保护 的 资产 ,识别 可 能 被 威胁 利用 的 弱点 ,并 对 脆弱 性 的 严 
重 程度 进行 评估 ; 也 可 以 从 物理 、 网 络 、 系 统 、 应 用 等 层次 进行 识别 ,然后 与 资产 、 威 胁 对 应 
起 来 。 脆 弱 性 识别 的 依据 可 以 是 国际 或 国家 安全 标准 ,也 可 以 是 行业 规范 .应 用 流程 的 安全 
要 求 。 对 应 用 在 不 同 环境 中 的 相同 的 弱点 ,其 脆弱 性 严重 程度 是 不 同 的 ,评估 者 应 从 组 织 安 
全 策略 的 角度 考虑 、 判 断 资产 的 脆弱 性 及 其 严重 程度 。 信 息 系 统 所 采用 的 协议 .应 用 流程 的 
完备 与 否 .与 其 他 网 络 的 互 连 等 也 应 考虑 在 内 。 

脆弱 性 识别 的 数据 应 来 自 于 资产 的 所 有 者 、 使 用 者 ,以 及 相关 业务 领域 和 软 硬 件 方面 的 
专业 人 员 等 。 脆 弱 性 识别 所 采用 的 方法 主要 有 问卷 调查 .工具 检测 \ 人 工 核查 .文档 查阅 , 渗 
透 测 试 等 ,其 中 渗透 测试 是 一 种 从 攻击 者 的 角度 来 对 主机 系统 的 安全 程度 进行 安全 评估 的 
手段 ,在 对 现 有 信息 系统 不 造成 任何 损害 的 前 提 下 ,模拟 入 侵 者 对 指定 系统 进行 攻击 检测 。 
渗透 测试 通常 能 以 非常 明显 、 直 观 的 结果 来 反映 出 系统 的 安全 现状 。 可 根据 具体 的 评估 对 
象 . 评 估 目 的 来 选择 脆弱 点 识别 方法 。 

脆弱 性 识别 主要 从 技术 和 管理 两 个 方面 进行 ,技术 脆弱 性 涉及 物理 层 、 网 络 层 . 系 统 层 、 
应 用 层 等 各 个 层面 的 安全 问题 。 管 理 脆弱 性 又 分 为 技术 管理 脆弱 性 和 组 织 管理 脆弱 性 两 方 
面 ,前 者 与 具体 技术 活动 相关 ,后 者 与 管理 环境 相关 。 

对 不 同 的 识别 对 象 , 其 脆弱 性 识别 的 具体 要 求 应 参照 相应 的 技术 或 管理 标准 实施 。 例 
如 ,对 物理 环境 的 脆弱 性 识别 应 按 GB/T 9361 中 的 技术 指标 实施 ; 对 操作 系统 、 数 据 库 的 
脆弱 性 识别 应 按 GB 17859-1999 中 的 技术 指标 实施 ; 对 网 络 、 系 统 、 应 用 等 信息 技术 安全 性 
的 脆弱 性 识别 应 按 GB/T 18336-2001 中 的 技术 指标 实施 ; 对 管理 的 脆弱 性 识别 应 按 GB/T 
19716-2005 的 要 求 对 安全 管理 制度 及 其 执行 情况 进行 检查 ,发 现 管理 脆弱 性 和 不 足 。 
表 9. 8 提供 了 一 种 脆弱 性 识别 内 容 的 参考 。 


表 9.8 脆弱 性 识别 内 容 表 





























类 型 识别 对 象 识别 内 容 
物理 环境 从 机 房 场地 防火 、 供 配 电 、 防 静电 、 接 地 与 防 雷电 磁 防 护 、 通 信 线 路 的 
保护 ,机 房 区 域 防 护 、 机 房 设备 管理 等 方面 进行 识别 
网 络 结构 从 网 络 结构 设计 、 边 界 防护 .外 部 访问 控制 策略 ,内 部 访问 控制 策略 、 网 
络 设备 安全 配置 等 方面 进行 识别 
系统 软件 从 补丁 安装 ,用户 账号 口令 策略 ,资源 共享 .事件 审计 、 访 问 控制 .新 系 
技术 脆弱 性 统 配置 注册 表 加 固 、 网 络 安 全 、 系 统管 理 等 方面 进行 识别 
数据 库 软件 从 补丁 安装 、 鉴 别 机 制 , 口 令 机 制 ,访问 控制 ,网络 和 服务 设置 ,备份 和 
恢复 机 制 ,审计 机 制 等 方面 进行 识别 
应 用 中 间 件 类 协 放 安全 \ 交 遇 元 整 性, 笋 损 完整 性 < 送信 : 符 别 机 币 v 客 码 保护 特有 
面 进 行 识别 
应 用 系统 从 审计 机 制 、 审 计 存 储 、 访 问 控 制 策略 数据 完整 性 \ 通 信 、 鉴 别 机 制 、 密 
码 保护 等 方面 进行 识别 
技术 管理 从 物理 和 环境 安全 ,通信 与 操作 管理 访问 控制 .系统 开发 与 维护 .业务 
管理 脆弱 性 连续 性 等 方面 进行 识别 
从 安全 策略 ,组 织 安 全 、 资 产 分 类 与 控制 ,人员 安 全 、 符 合 性 等 方面 进行 
组 织 管理 识别 
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可 以 根据 脆弱 性 对 资产 的 暴露 程度 .技术 实现 的 难 易 程度 ,流行 程度 等 ,采用 等 级 方式 
对 已 识别 的 脆弱 性 的 严重 程度 进行 赋值 。 由 于 很 多 弱点 反映 的 是 同一 方面 的 问题 ,或 可 能 
造成 相似 的 后 果 ,赋值 时 应 综合 考虑 这 些 弱点 ,以 确定 这 一 方面 脆弱 性 的 严重 程度 。 

对 某 个 资产 ,其 脆弱 性 的 严重 程度 还 受到 组 织 管理 脆弱 性 的 影响 。 因 此 ,资产 的 脆弱 性 
赋值 还 应 参考 技术 管理 和 组 织 管理 脆弱 性 的 严重 程度 。 

脆弱 性 严重 程度 可 以 进行 等 级 化 处 理 , 不 同 的 等 级 分 别 代 表 资 产 脆弱 性 严重 程度 的 
高 低 。 等 级 数值 越 大 ,脆弱 性 严重 程度 越 高 。 表 9. 9 提供 了 脆弱 性 严重 程度 的 一 种 赋值 
方法 。 


表 9.9 脆弱 性 严重 程度 赋值 表 





赋值 标识 定 - 滥 
5 很 高 如 果 被 威胁 利用 ,将 对 资产 造成 完全 损害 
4 高 如 果 被 威胁 利用 ,将 对 资产 造成 重大 损害 
3 中 等 如 果 被 威胁 利用 ,将 对 资产 造成 一 般 损 害 
2 低 如 果 被 威胁 利用 ,将 对 资产 造成 较 小 损害 
4 很 低 如 果 被 威胁 利用 ,将 对 资产 造成 的 损害 可 以 忽略 


9.4.5 已 有 安全 措施 确认 


在 识别 脆弱 性 的 同时 ,评估 人 员 应 对 已 采取 的 安全 措施 的 有 效 性 进行 确认 。 安 全 措施 
的 确认 应 评估 其 有 效 性 , 即 是 否 真正 地 降低 了 系统 的 脆弱 性 ,抵御 了 威胁 。 对 有 效 的 安全 措 
施 继续 保持 ,以 避免 不 必要 的 工作 和 费用 ,防止 安全 措施 的 重复 实施 。 对 确认 为 不 适当 的 安 
全 措施 应 该 核实 是 否 应 被 取消 或 对 其 进行 修正 ,或 用 更 合适 的 安全 措施 蔡 代 。 

安全 措施 可 以 分 为 预防 性 安全 措施 和 保护 性 安全 措施 两 种 。 预 防 性 安全 措施 可 以 降低 
威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 ,如 入 侵 检测 系统 ; 保护 性 安全 措施 可 以 减少 
因 安 全 事件 发 生 而 对 组 织 或 系统 造成 的 影响 。 

已 有 安全 措施 确认 与 脆弱 性 识别 存在 一 定 的 联系 。 一 般 来 说 ,安全 措施 的 使 用 将 减少 
系统 技术 或 管理 上 的 脆弱 性 ,但 安全 措施 确认 并 不 需要 像 脆弱 性 识别 过 程 那样 具体 到 每 个 
资产 ,组 件 的 脆弱 性 ,而 是 一 类 具体 措施 的 集合 ,为 风险 处 理 计 划 的 制定 提供 依据 与 参考 。 


9.4.6 风险 分 析 


风险 分 析 的 原理 如 图 9. 2 所 示 ,风险 分 析 的 主要 内 容 如 下 。 

(1) 根据 威胁 及 威胁 利用 弱点 的 难 易 程 度 判断 安全 事件 发 生 的 可 能 性 ; 

(2) 根据 脆弱 性 的 严重 程度 及 安全 事件 所 作用 资产 的 价值 计算 安全 事件 的 损失 ， 

(3) 根据 安全 事件 发 生 的 可 能 性 以 及 安全 事件 的 损失 ,计算 安全 事件 一 旦 发 生 对 组 织 
的 影响 , 即 风险 值 。 

1. 风险 计算 原理 

在 完成 了 资产 识别 .威胁 识别 ,脆弱 性 识别 ,以 及 已 有 安全 措施 确认 后 ,将 采用 适当 的 方 
法 和 工具 确定 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 。 综 合 安全 事件 所 作用 的 资产 价 
值 及 脆弱 性 的 严重 程度 ,判断 安全 事件 造成 的 损失 对 组 织 的 影响 , 即 安全 风险 。 下 面 使 用 范 
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图 9.2 风险 分 析 原 理 图 


式 来 形式 化 说 明 风 险 计算 原理 : 
风险 值 =RCA,T,V)=RCLCT,V),F(L,,V.)) 

其 中 : R 表示 安全 风险 计算 函数 ,A 表示 资产 ,T 表示 威胁 出 现 频率 ,V 表示 脆弱 性 ,1 
表示 安全 事件 所 作用 的 资产 价值 ,V。 表示 脆弱 性 严重 程度 ,L 表示 威胁 利用 资产 脆弱 性 导 
致 安全 事件 发 生 的 可 能 性 ,下 表示 安全 事件 发 生 后 产生 的 损失 。 

在 风险 计算 中 有 以 下 三 个 关键 计算 环节 。 

1) 计算 安全 事件 发 生 的 可 能 性 

根据 威胁 出 现 频率 和 脆弱 性 的 状况 ,计算 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 , 即 : 

安全 事件 发 生 的 可 能 性 =L( 威 胁 出 现 频率 ,脆弱 性 )==L(T,V) 

在 具体 评估 中 ,应 综合 攻击 者 技术 能 力 (专业 技术 程度 、 攻 击 设备 等 )、 脆 弱 性 被 利用 的 
难 易 程 度 (可 访问 时 间 、 设 计 和 操作 知识 公开 程度 等 ) .资产 吸引 力 等 因素 来 判断 安全 事件 发 
生 的 可 能 性 。 

2) 计算 安全 事件 发 生 后 的 损失 

根据 资产 价值 及 脆弱 性 严重 程度 ,计算 安全 事件 一 旦 发 生 后 的 损失 , 即 : 

安全 事件 的 损失 二 FF( 资 产 价值 ,脆弱 性 严重 程度 )= 二 FI ,V,) 

部 分 安全 事件 的 发 生 造 成 的 损失 不 仅仅 针对 该 资产 本 身 ,还 可 能 影响 业务 的 连续 性 ; 
不 同安 全 事件 的 发 生 对 组 织造 成 的 影响 也 是 不 一 样 的 。 在 计算 某 个 安全 事件 的 损失 时 ,应 
将 对 组 织 的 影响 考虑 在 内 。 

部 分 安全 事件 造成 的 损失 的 判断 还 应 参照 安全 事件 发 生 可 能 性 的 结果 ,对 发 生 可 能 性 
极 小 的 安全 事件 ,如 处 于 非 地 震 带 的 地 震 威 胁 、 在 采取 完备 供电 措施 状况 下 的 电力 故障 威胁 
等 ,可 以 不 计算 其 损失 。 

3) 计算 风险 值 

根据 计算 出 的 安全 事件 发 生 的 可 能 性 以 及 安全 事件 造成 的 损失 计算 风险 值 , 即 : 

风险 值 二 R( 安 全 事件 发 生 的 可 能 性 ,安全 事件 的 损失 ) 
=T VL 

评估 者 可 根据 自身 情况 选择 相应 的 风险 计算 方法 计算 风险 值 ,如 和 矩阵 法 或 相 乘法 。 甜 
阵 法 通过 构造 一 个 二 维 矩 阵 ,形成 安全 事件 发 生 的 可 能 性 与 安全 事件 的 损失 之 间 的 二 维 关 
系 ; 相 乘 法 通过 构造 经 验 函 数 ,将 安全 事件 发 生 的 可 能 性 与 安全 事件 的 损失 进行 运算 得 到 
风险 值 。 

目前 常用 的 风险 值 计 算 方法 有 矩阵 法 和 相 乘 法 .这 里 简要 介绍 相 乘 法 。 
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2. 使 用 相 乘法 计算 风险 


1) 相 乘 法 的 原理 

相 乘 法 主要 用 于 两 个 或 多 个 要 素 值 确定 一 个 要 素 值 的 情形 。 即 = FCz,y) ,函数 三 可 
以 采用 相 乘 法 。 相 乘法 的 原理 是 : 

z 一 zy) 一 ZOy。 

当 了 为 增 量 函 数 时 ,加 可 以 为 直接 相 乘 ,也 可 以 为 相 乘 后 取 模 等 ,例如 ， 

z 二 f(xyy) 一 XXy, 或 == 二 f(x,y) 二 V(rzXy) 等 。 

相 乘 法 提供 一 种 定量 的 计算 方法 ,直接 使 用 两 个 要 素 值 进行 相 乘 得 到 另 一 个 要 素 的 值 。 
相 乘 法 的 特点 是 简单 明确 ,直接 按照 统一 公式 计算 , 即 可 得 到 所 需 结果 。 

在 风险 值 计算 中 ,通常 需要 对 两 个 要 素 确定 的 男 一 个 要 素 值 进行 计算 ,例如 由 威胁 和 脆 
弱 性 确定 安全 事件 发 生 的 可 能 性 值 . 由 资产 和 脆弱 性 确定 安全 事件 的 损失 值 ,因此 相 乘 法 在 
风险 分 析 中 得 到 广泛 采用 。 

2) 计算 示例 

假设 某 信息 系统 共有 两 个 重要 资产 : 资产 Al 和 资产 A2; 

资产 Al 面临 三 个 主要 威胁 : 威胁 T1 ,威胁 T2 和 威胁 T3; 

资产 A2 面临 两 个 主要 威胁 : 威胁 T4 和 威胁 T5; 

威胁 Tl 可 以 利用 的 资产 Al 存在 的 一 个 脆弱 性 V1; 

威胁 T2 可 以 利用 的 资产 Al 存在 的 两 个 脆弱 性 V2、V3; 

威胁 T3 可 以 利用 的 资产 Al 存在 的 一 个 脆弱 性 V4; 

威胁 T4 可 以 利用 的 资产 A2 存在 的 一 个 脆弱 性 V5; 

威胁 T5 可 以 利用 的 资产 A2 存在 的 一 个 脆弱 性 V6; 

资产 价值 分 别 是 : 资产 A1 一 4, 资 产 A2 一 5; 

威胁 发 生 频率 分 别 是 : 威胁 T1==1, 威 胁 T2==5, 威 胁 T3==4, 威 胁 T4= 二 3, 威 胁 T5 二 4; 

脆弱 性 严重 程度 分 别 是 : 脆弱 性 V1==3,V2==1,V3==5,V4 二 4,V5 二 4,V6 二 3。 

两 个 资产 的 风险 值 计算 过 程 类 似 , 下 面 以 资产 Al 为 例 使 用 相 乘 法 计算 风险 值 。 

资产 Al 面临 的 主要 威胁 包括 威胁 T1\、 威 胁 T2 和 威胁 T3 ,威胁 Tl 可 以 利用 的 资产 
Al 存在 的 脆弱 性 有 一 个 ,威胁 T2 可 以 利用 的 资产 Al 存在 的 脆弱 性 有 两 个 ,威胁 T3 可 以 
利用 的 资产 Al 存在 的 脆弱 性 有 一 个 , 则 资产 Al 存在 的 风险 值 有 4 个 。4 个 风险 值 的 计算 
过 程 类 似 , 下 面 以 资产 Al 面临 的 威胁 Tl 可 以 利用 的 脆弱 性 V1 为 例 ,计算 安全 风险 值 。 
其 中 计算 公式 使 用 : 

xz 一 f(z,y) 二 V(zXy) ,并 对 = 的 计算 值 四 舍 五 人 取 整 得 到 最 终结 果 。 

(1) 计算 安全 事件 发 生 的 可 能 性 

威胁 发 生 频 率 : 威胁 T1 一 1; 

脆弱 性 严重 程度 : 脆弱 性 V1 二 3。 

计算 安全 事件 发 生 的 可 能 性 ,安全 事件 发 生 的 可 能 性 = VCIX3) 二 V3。 

(2) 计算 安全 事件 的 损失 

资产 价值 : 资产 Al 一 4; 

脆弱 性 严重 程度 : 脆弱 性 V1 二 3。 
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计算 安全 事件 的 损失 ,安全 事件 损失 一 V(4X3) 一 V12。 

(3) 计算 风险 值 

安全 事件 发 生 的 可 能 性 =V3 ; 

安全 事件 损失 一 V12 。 

安全 事件 风险 值 =V3 X V12 一 6。 

按照 上 述 方法 进行 计算 ,得 到 资产 Al 的 其 他 风险 值 ,以 及 资产 A2 和 资产 A3 的 风险 

值 ,然后 进行 风险 结果 等 级 判定 。 
3) 结果 判定 
确定 风险 等 级 划分 如 表 9. 10 所 示 。 
表 9.10 风险 等 级 划分 

风险 值 1~5 6~10 11~15 16~20 21~25 
风险 等 级 1 和 a 4 5 





根据 上 述 计算 方法 ,以 此 类 推 ,得 到 两 个 重要 资产 的 风险 值 ,并 根据 风险 等 级 划分 表 , 确 
定 风险 等 级 ,结果 如 表 9. 11 所 示 。 
































表 9.11 风险 等 级 
资产 威胁 脆弱 性 风险 值 风险 等 级 

威胁 Tl 脆弱 性 V1 6 2 
威胁 T2 脆弱 性 V2 4 记 

A 威胁 T2 脆弱 性 V3 22 5 
威胁 T3 脆弱 性 V4 16 4 
威胁 T4 脆弱 性 V5 15 是 

nl 威胁 T5 脆弱 性 V6 13 3 

3. 风险 结果 判定 


为 实现 对 风险 的 控制 和 管理 ,可 以 对 风险 评估 的 结果 进行 等 级 化 处 理 。 可 以 将 风险 划 
分 为 一 定 的 级 别 ,等 级 越 高 ,风险 越 大 。 

评估 者 应 根据 所 采用 的 风险 计算 方法 ,计算 每 种 资产 面临 的 风险 值 , 根 据 风险 值 的 分 布 
状况 ,为 每 个 等 级 设 定 风险 值 范围 ,并 对 所 有 风险 计算 结果 进行 等 级 处 理 。 每 个 等 级 代表 了 
相应 风险 的 严重 程度 。 表 9. 12 提供 了 一 种 风险 评估 等 级 划分 方法 。 


表 9.12 风险 评估 等 级 划分 表 





赋值 标识 定义 
5 很 高 。 一 旦 发 生 将 产生 非常 严重 的 经 济 或 社会 影响 ,如 组 织 信誉 严重 破坏 、 严 重 影响 组 
织 的 正常 经 营 ,经 济 损失 重大 、 社 会 影响 恶劣 
4 高 一 旦 发 生 将 产生 较 大 的 经 济 或 社会 影响 ,在 一 定 的 范围 内 给 组 织 的 经 营 和 组 织 
信誉 造成 损害 
3 中 等 ”一 且 发 生 会 造成 一 定 的 经 济 、 社 会 或 生产 经 营 影响 ,但 影响 面 和 影响 程度 不 大 
党 低 一 旦 发 生 造 成 的 影响 程度 较 低 ,一 般 仅 限于 组 织 内 部 ,通过 一 定 手 段 很 快 能 解决 


出 很 低 ” 一 旦 发 生 造 成 的 影响 几乎 不 存在 ,通过 简单 的 措施 就 能 弥补 
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风险 等 级 划分 是 为 了 在 风险 管理 过 程 中 对 不 同 风险 进行 直观 的 比较 ,以 确定 组 织 安全 
策略 。 组 织 应 当 综 合 考虑 风险 控制 成 本 与 风险 造成 的 影响 ,提出 一 个 可 接受 的 风险 范围 。 
对 某 些 资产 的 风险 ,如 果 风 险 计 算 值 在 可 接受 的 范围 内 , 则 该 风险 是 可 接受 的 风险 ,应 保持 
已 有 的 安全 措施 ; 如 果 风 险 评 估 值 在 可 接受 的 范围 外 , 即 风险 计算 值 高 于 可 接受 范围 的 上 
限 值 ,是 不 可 接受 的 风险 ,需要 采取 安全 措施 以 降低 、 控 制 风 险 。 


9.4.7 风险 处 理 计划 


对 不 可 接受 的 风险 应 根据 导致 该 风险 的 脆弱 性 制订 风险 处 理 计划 。 风 险 处 理 计 划 中 应 明 
确 采取 的 弥补 脆弱 性 的 安全 措施 、 预 期 效果 实施 条 件 、 进 度 安排 ,责任 部 门 等。 安全 措施 的 选 
择 应 从 管理 和 技术 两 个 方面 考虑 。 安 全 措施 的 选择 与 实施 应 参考 信息 安全 的 相关 标准 进行 。 


9.4.8 残余 风险 的 评估 


在 对 不 可 接受 的 风险 选择 适当 安全 措施 后 ,为 确保 安全 措施 的 有 效 性 ,可 进行 再 评估 ， 
以 判断 实施 安全 措施 后 的 残余 风险 是 否 已 经 降低 到 可 接受 的 水 平 。 残 余 风 险 的 评估 可 以 依 
据 本 标准 提出 的 风险 评估 流程 实施 ,也 可 作 适 当 裁 前 。 一 般 来 说 ,安全 措施 的 实施 是 以 减少 
脆弱 性 或 降低 安全 事件 发 生 可 能 性 为 目标 的 ,因此 ,残余 风险 的 评估 可 以 从 脆弱 性 评估 开 
始 ,在 对 照 安全 措施 实施 前 后 的 脆弱 性 状况 后 ,再 次 计算 风险 值 的 大 小 。 

某 些 风 险 可 能 在 选择 了 适当 的 安全 措施 后 ,残余 风险 的 结果 仍 处 于 不 可 接受 的 风险 范 
围 内 ,应 考虑 是 否 接 受 此 风险 或 进一步 增加 相应 的 安全 措施 。 


9.4.9 风险 评估 文档 


风险 评估 文档 是 指 在 整个 风险 评估 过 程 中 产生 的 评估 过 程 文档 和 评估 结果 文档 ,包括 
(但 不 仅 限于 此 ) 以 下 几 种 。 

(1) 风险 评估 方案 : 阐述 风险 评估 的 目标 .范围 人员、 评估 方法 .评估 结果 的 形式 和 实 
施 进 度 等 。 

(2) 风险 评估 程序 : 明确 评估 的 目的 职责. 过程. 相关 的 文档 要 求 , 以 及 实施 本 次 评估 
所 需要 的 各 种 资产 .威胁 .脆弱 性 识别 和 判断 依据 。 

(3) 资产 识别 清单 : 根据 组 织 在 风险 评估 程序 文档 中 所 确定 的 资产 分 类 方法 进行 资产 
识别 ,形成 资产 识别 清单 ,明确 资产 的 责任 人 /部 门 。 

(4) 重要 资产 清单 : 根据 资产 识别 和 赋值 的 结果 ,形成 重要 资产 列表 ,包括 重要 资产 名 
称 、 描 述 、 类 型 .重要 程度 、 责 任 人 / 部 门 等 。 

(5) 威胁 列表 : 根据 威胁 识别 和 赋值 的 结果 ,形成 威胁 列表 ,包括 威胁 名 称 、 种 类 、 来 
源 、 动 机 及 出 现 的 频率 等 。 

(6) 脆弱 性 列表 : 根据 脆弱 性 识别 和 赋值 的 结果 ,形成 脆弱 性 列表 ,包括 具体 脆弱 性 的 
名 称 、 描 述 、 类 型 及 严重 程度 等 。 

(7) 已 有 安全 措施 确认 表 : 根据 对 已 采取 的 安全 措施 确认 的 结果 ,形成 已 有 安全 措施 
确认 表 , 包 括 已 有 安全 措施 名 称 、 类 型 .功能 描述 及 实施 效果 等 。 

(8) 风险 评估 报告 : 对 整个 风险 评估 过 程 和 结果 进行 总 结 , 详 细 说 明 被 评估 对 象 风 险 
评估 方法 ,资产 .威胁 、 脆 弱 性 的 识别 结果 、 风 险 分 析 、 风 险 统计 和 结论 等 内 容 。 
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(9) 风险 处 理 计 划 : 根据 风险 评估 程序 ,要 求 风险 评估 过 程 中 的 各 种 现场 记录 可 复 现 
评估 过 程 , 并 作为 产生 歧义 后 解决 问题 的 依据 。 

对 于 风险 评估 过 程 中 形成 的 相关 文档 ,还 应 规定 其 标识 存储 、 保 护 、 检 索 、 保 存 期 限 以 
及 处 置 所 需 的 控制 。 相 关 文档 是 否 需 要 以 及 详 略 程度 由 组 织 的 管理 者 来 决定 。 


9.5 信息 系统 风险 评估 发 展 存在 的 问题 


目前 “信息 系统 安全 是 一 项 系统 工程 的 观点 已 得 到 广泛 的 认可 接受 ,作为 该 工程 的 基 
础 和 前 提 的 风险 评估 也 越 来 越 受 到 大 家 的 重视 ,但 在 该 领域 的 研究 .发展 过 程 中 还 需要 纠正 
和 解决 一 些 模糊 概念 和 问题 。 

第 一 ,安全 评估 体系 所 应 包括 的 相应 组 织 架构 .业务 .标准 和 技术 体系 还 不 完善 。 

第 二 ,不 能 简单 地 将 系统 风险 评估 理解 为 一 个 具体 的 产品 .工具 ,系统 的 风险 评估 更 应 
该 是 一 个 过 程 ,是 一 个 体系 。 完 善 的 系统 风险 评估 体系 应 包括 相应 的 组 织 架 构 ., 业 务 体系 、 
标准 体系 和 技术 体系 。 

第 三 ,在 评估 标准 的 采用 上 ,没有 统一 的 标准 ,由 于 各 种 标准 的 侧重 点 不 同 ,导致 评估 结 
果 没 有 可 比 性 ,甚至 会 出 现 较 大 的 差异 ,而 且 目前 国内 还 缺乏 具有 自主 知识 产权 、 比 较 系 统 
的 信息 系统 评估 标准 。 

第 四 ,评估 过 程 的 主观 性 也 是 影响 评估 结果 的 一 个 相当 重要 而 又 最 难 解 决 的 方面 ,在 信 
息 系统 风险 评估 中 ,主观 性 是 不 可 避免 的 ,我 们 所 要 做 的 是 尽量 减少 人 为 主观 性 ,目前 在 该 
领域 利用 神经 网 络 .专家 系统 、 分 类 树 等 人 工 智能 技术 进行 的 研究 比较 活跃 。 

第 五 ,风险 评估 工具 比较 缺乏 ,市场 上 漏洞 扫描 、 防 火 墙 等 都 有 比较 成 熟 的 产品 ,但 与 信 
息 系 统 风险 评估 相关 的 工具 却 很 匮乏 。 


9.6 小 结 


信息 安全 风险 评估 是 信息 安全 保障 体系 建立 过 程 中 的 重要 评价 方法 和 决策 机 制 , 没 有 
准确 及 时 的 风险 评估 ,将 无 法 对 信息 安全 状况 做 出 准确 的 判断 。 安 全 评估 作为 信息 系统 安 
全 工程 重要 组 成 部 分 ,已 经 不 仅仅 是 个 别 企 业 的 问题 ,而 是 关系 到 国民 经 济 的 每 一 方面 的 重 
大 问题 , 它 将 逐渐 走 上 规范 化 和 法 制 化 的 轨道 上 来 ,国家 对 各 种 配套 的 安全 标准 和 法 规 的 制 
定 将 会 更 加 健全 ,评估 模型 .评估 方法 评估 工具 的 研究 、 开 发 将 更 加 活跃 ,信息 系统 及 相关 
产品 的 风险 评估 认证 将 成 为 必需 环节 。 


习 题 
一 、 填 空 是 


1. 我 国 开展 信息 安全 风险 评估 工作 遵循 的 国家 标准 是 
2. 风险 评估 的 方法 有 、 和 
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3. 资产 赋值 的 过 程 也 就 是 对 资产 在 和 的 要 求 进行 分 析 ， 
并 在 此 基础 上 得 出 综合 结果 的 过 程 。 

4. 常用 的 风险 值 计算 方法 有 和 

5. 风险 评估 的 工具 可 以 分 为 x 和 

6. 资产 的 价值 不 是 以 资产 的 经 济 价值 来 衡量 的 ,而 是 由 资产 在 和 

这 三 个 安全 属性 上 的 达成 程度 或 者 其 安全 属性 未 达成 时 所 造成 的 影响 程度 来 决 

定 的 。 

7. 威胁 识别 后 需要 对 进行 赋值 。 

二 、 简 答题 
. 什么 是 信息 安全 风险 评估 ? 
.风险 计算 的 主要 过 程 包括 哪些 步 又 ? 
. 什么 是 资产 ,什么 是 资产 价值 ? 
. 什么 是 安全 威胁 ? 产生 安全 威胁 的 主要 因素 是 什么 ? 
. 什么 是 脆弱 性 ? 什么 是 脆弱 性 识别 ? 
. 威胁 的 可 能 性 赋值 受到 哪些 因素 的 影响 ? 
. 请 谈 谈 计算 机 信息 系统 安全 风险 评估 在 信息 安全 建设 中 的 地 位 和 重要 意义 。 
. 简 述 在 风险 评估 时 从 哪些 方面 收集 风险 评估 的 数据 。 

9. 查阅 相关 文献 资料 ,了 解 对 信息 系统 进行 安全 风险 评估 的 其 他 方法 ,比较 它们 的 优 
缺点 ,并 选择 一 种 评估 方法 对 本 单位 或 个 人 的 信息 系统 安全 做 一 次 风险 评估 。 

10. 知识 拓展 : 查阅 中 国信 息 安全 风险 评估 论坛 .国家 信息 中 心 信息 安全 风险 评估 网 ， 
了 解 更 多 安全 风险 评估 理论 和 技术 的 进展 。 














oo 加 辐 上 mo 


第 10 章 恶意 代码 检测 与 防范 技术 


恶意 代码 (Malicious Code) 是 指 在 未 授权 的 情况 下 ,以 破坏 软 硬 件 设 备 、 窃 取 用 户 信息 、 
干扰 用 户 正 常 使 用 、 扰 乱用 户 心理 为 目的 而 编制 的 软件 或 代码 片段 。 

常见 的 恶意 代码 包括 计算 机 病毒 、 蠕 虫 、 特 洛 伊 木 马 、 后 门 .RootKit 等 ,它们 以 各 种 方 
式 侵入 计算 机 系统 ,对 信息 系统 的 正常 使 用 造成 了 极 大 危害 ,主要 包括 攻击 系统 ,造成 系统 
瘫痪 或 操作 异常 ; 危害 数据 文件 的 安全 存储 和 使 用 ; 泄露 隐私 信息 ; 肆意 占用 资源 ,影响 系 
统 或 网 络 的 性 能 ; 攻击 应 用 程序 ,如 影响 邮件 的 收发 等 。 

本 章 简要 介绍 几 类 恶意 代码 ,其 中 10. 1 节 介 绍 计 算 机 病毒 的 结构 原理 以 及 病毒 检测 
的 方法 ,10. 2 节 介 绍 特洛伊 木马 的 功能 和 特点 ,分 析 其 工作 机 理 , 给 出 木马 检测 与 防范 技 
术 ,10. 3 节 介绍 蠕虫 的 定义 .基本 结构 和 工作 原理 以 及 蠕虫 防范 的 方法 。 





10.1 计算 机 病毒 


早 在 1949 年 ,计算 机 先驱 John von Neumann 在 论文 中 指出 程序 可 以 被 编写 成 能 自我 
复制 并 增加 自身 大 小 的 形式 。1977 年 Thomas. J. Ryan 推出 了 黎 动 一 时 的 科幻 小 说 The 
Adolescence of P-1, 在 这 本 书 中 ,作者 构造 了 一 种 神秘 的 、 能 自我 复制 ,利用 信息 通道 传播 
的 计算 机 程序 , 称 为 计算 机 病毒 ,这 些 病毒 漂泊 于 计算 机 内 ,游荡 于 硅 片 之 间 , 控 制 7000 多 
台 计算 机 操作 系统 ,引起 混乱 和 不 安 。 这 一 科幻 故事 很 快 变 成 了 现实 。 

第 一 个 被 检测 到 的 病毒 出 现在 1986 年 , 称 为 Brain( 巴 基 斯 坦 智 吉 病毒 ) ,这 是 一 个 驻 留 
内 存 的 根 扇 区 病毒 。 


10.1.1 定义 


1983 年 11 月 ,Fred Cohen 在 一 次 计算 机 安全 学 术 会 议 上 首次 提出 计算 机 病毒 的 概念 : 
计算 机 病毒 是 一 个 能 够 通过 修改 程序 ,把 自身 复制 进去 ,进而 感染 其 他 程序 的 程序 。 这 一 概 
念 强调 了 计算 机 病毒 能 够 “传染 ”其 他 程序 这 一 特点 。 

我 国 在 《中华 人民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 将 病毒 定义 为 : 编制 或 者 在 
计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 
计算 机 指令 或 者 程序 代码 。 为 什么 把 这 种 恶意 代码 称 为 病毒 呢 , 主 要 的 原因 是 计算 机 病毒 
和 生物 病毒 有 极为 相似 的 特征 ,计算 机 病毒 一 般 具 有 以 下 特征 。 

1. 传染 性 

与 生物 界 中 的 病毒 可 以 从 一 个 生物 体 传播 到 另 一 个 生物 体 一 样 , 计 算 机 病毒 可 以 借助 
各 种 渠道 (移动 存储 介质 、 共 享 目录 、 邮 件 等 ) 从 已 经 感染 的 计算 机 系统 扩散 到 其 他 计算 机 
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2. 潜伏 性 

计算 机 病毒 的 潜伏 性 是 指 计算 机 病毒 可 以 依附 于 其 他 媒体 寄生 的 能 力 , 侵 入 后 的 病毒 
一 般 不 会 马上 破坏 系统 而 是 潜伏 到 条 件 成 熟 才 发 作 。 

3. 触发 性 

潜伏 下 来 的 计算 机 病毒 一 般 要 在 一 定 的 条 件 下 才 被 激活 ,发 起 攻击 。 病 毒 的 触发 条 件 
可 以 是 日 期 /时 间 触 发 .键盘 触发 .计数 器 触发 .启动 触发 等 。 

4. 非 授权 执行 

计算 机 病毒 隐蔽 在 合法 程序 和 数据 中 , 当 用 户 运行 正常 程序 时 ,病毒 伺机 取得 系统 的 控 
制 权 , 先 于 正常 程序 执行 ,并 对 用 户 呈 透明 状态 。 

5. 破坏 性 

计算 机 病毒 的 破坏 性 包括 以 下 几 方 面 。 

(1) 对 计算 机 数据 信息 的 直接 破坏 : 删除 、 改 名、 替换 内 容 、 假 冒 文件 .磁盘 格式 化 等 。 

(2) 抢占 系统 资源 : 占用 和 消耗 内 存 、 硬 盘 等 资源 。 

(3) 影响 计算 机 运行 速度 。 

(4) 对 计算 机 硬件 主板 、 显 示 器 、 打 印 机 等 的 破坏 。 

按照 计算 机 病毒 的 特点 及 特性 ,计算 机 病毒 的 分 类 方法 有 许多 种 。 

1. 按照 计算 机 病毒 攻击 的 系统 分 类 

(1) 攻击 Windows 系统 的 病毒 。 由 于 Windows 的 图 形 用 户 界面 (GUI) 和 多 任务 操作 
系统 深 受 用 户 的 欢迎 ,因而 是 病毒 攻击 的 主要 对 象 。 首 例 破坏 计算 机 硬件 的 CIH 病毒 就 是 
一 个 Windows 95/98 病毒 。 

(2) 攻击 UNIX/Linux 系统 的 病毒 。 当 前 ,UNIX/Linux 系统 应 用 非常 广泛 ,许多 大 型 
机 均 采 用 UNIX/Linux 作为 操作 系统 ,UNIX/Linux 病毒 的 出 现 , 对 人 类 的 信息 处 理 也 是 
一 个 严重 的 威胁 。 

2. 按照 计算 机 病毒 的 链接 方式 分 类 

由 于 计算 机 病毒 本 身 必须 有 一 个 攻击 对 象 以 实现 对 计算 机 系统 的 攻击 ,计算 机 病毒 所 
攻击 的 对 象 是 计算 机 系统 可 执行 的 部 分 。 

1) 源码 型 病毒 

该 病毒 攻击 高 级 语言 编写 的 程序 ,该 病毒 在 高 级 语言 所 编写 的 程序 编译 前 插入 到 源 程 
序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

2) 骨 入 型 病毒 

这 种 病毒 是 将 自身 和 戏 和 人 到 现 有 程序 中 ,把 计算 机 病毒 的 主体 程序 与 其 攻击 的 对 象 以 插 
入 的 方式 链接 。 这 种 计算 机 病毒 是 难以 编写 的 ,一 旦 侵入 程序 体 后 也 较 难 消 除 。 

3) 外 壳 型 病毒 

外 壳 型 病毒 将 其 自身 包围 在 主 程序 的 四 周 ,对 原来 的 程序 不 作 修 改 。 这 种 病毒 最 为 常 
见 ,易于 编写 ,也 易于 发 现 ,一般 测试 文件 的 大 小 即 可 知 。 

4) 操作 系统 型 病毒 

这 种 病毒 在 运行 时 ,用 自己 的 逻辑 部 分 取代 操作 系统 的 合法 程序 模块 ,具有 很 强 的 破坏 
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力 , 可 以 导致 整个 系统 瘫 病 。 圆 点 病毒 和 大 麻 病毒 就 是 典型 的 操作 系统 型 病毒 。 

3. 按照 计算 机 病毒 的 破坏 情况 分 类 

1) 良性 计算 机 病毒 

良性 病毒 是 指 不 包含 立即 对 计算 机 系统 产生 直接 破坏 作用 的 代码 的 病毒 。 这 类 病毒 为 
了 表现 其 存在 ,只 是 不 停 地 进行 扩散 ,从 一 台 计 算 机 传染 到 另 一 台 , 并 不 破坏 计算 机 内 的 数 
据 。 其 实 良性 、 恶 性 都 是 相对 而 言 的 。 良 性 病毒 取得 系统 控制 权 后 ,会 导致 整 个 系统 运行 效 
率 降低 ,系统 可 用 内 存 总 数 减 少 ,使 某 些 应 用 程序 不 能 运行 。 它 还 与 操作 系统 和 应 用 程序 争 
抢 CPU 的 控制 权 , 导 臻 整个 系统 死 锁 , 给 正常 操作 带 来 麻烦 。 

2) 恶性 计算 机 病毒 

恶性 病毒 就 是 指 在 其 代码 中 包含 损伤 和 破坏 计算 机 系统 的 操作 ,在 其 传染 或 发 作 时 会 
对 系统 产生 直接 的 破坏 作用 的 病毒 。 这 类 病毒 是 很 多 的 ,如 米 开 朗 基 罗 病毒 。 当 米 氏 病毒 
发 作 时 ,硬盘 的 前 17 个 扇 区 被 彻底 破坏 ,使 整个 硬盘 上 的 数据 无 法 恢复 ,造成 的 损失 是 无 法 
挽回 的 。 有 的 病毒 还 会 对 硬盘 做 格式 化 等 破坏 ,这 些 操作 代码 都 是 刻意 编写 进 病毒 的 ,这 是 
其 本 性 之 一 。 

4. 按照 计算 机 病毒 的 寄生 部 位 或 传染 对 象 分 类 

传染 性 是 计算 机 病毒 的 本 质 属性 ,根据 寄生 部 位 或 传染 对 象 分 类 , 即 根据 计算 机 病毒 传 
染 方式 进行 分 类 ,有 以 下 几 种 。 

1) 磁盘 引导 区 传染 的 计算 机 病毒 

磁盘 引导 区 传染 的 病毒 主要 是 用 病毒 的 全 部 或 部 分 逻辑 取代 正常 的 引导 记录 ,而 将 正 
常 的 引导 记录 隐藏 在 磁盘 的 其 他 地 方 。 由 于 引导 区 是 磁盘 能 正常 使 用 的 先决 条 件 , 因 此 ,这 
种 病毒 在 运行 的 一 开始 (如 系统 启动 ) 就 能 获得 控制 权 , 其 传染 性 较 大 。 由 于 在 磁盘 的 引导 
区 内 存储 着 需要 使 用 的 重要 信息 ,如 果 对 磁盘 上 被 移 走 的 正常 引导 记录 不 进行 保护 , 则 在 运 
行 过 程 中 就 会 导致 引导 记录 的 破坏 。 引 导 区 传染 的 计算 机 病毒 较 多 ,例如 “大 麻 ”" 和 “小 球 ” 
病毒 就 是 这 类 病毒 。 

2) 操作 系统 传染 的 计算 机 病毒 

操作 系统 是 一 个 计算 机 系统 得 以 运行 的 支持 环境 , 它 包 括 COM、EXE 等 许多 可 执行 程 
序 及 程序 模块 。 操 作 系 统 传染 的 计算 机 病毒 就 是 利用 操作 系统 中 所 提供 的 一 些 程序 及 程序 
模块 寄生 并 传染 的 。 通 常 , 这 类 病毒 作为 操作 系统 的 一 部 分 ,只 要 计算 机 开始 工作 ,病毒 就 
处 在 随时 被 触发 的 状态 ,而 操作 系统 的 开放 性 和 不 绝对 完善 性 给 这 类 病毒 出 现 的 可 能 性 与 
传染 性 提供 了 方便 。 操 作 系 统 传染 的 病毒 目前 已 广泛 存在 ,“ 黑 色 星 期 五 ” 即 为 此 类 病毒 。 

3) 可 执行 程序 传染 的 计算 机 病毒 

可 执行 程序 传染 的 病毒 通常 寄生 在 可 执行 程序 中 ,一 旦 程序 被 执行 ,病毒 也 就 被 激活 ， 
病毒 程序 首先 被 执行 ,并 将 自身 驻 留 在 内 存 , 然 后 设置 触发 条 件 ,进行 传染 。 

5. 按照 计算 机 病毒 激活 的 时 间 分 类 

按照 计算 机 病毒 激活 的 时 间 可 分 为 定时 病毒 和 随机 病毒 。 定 时 病毒 仅 在 某 一 特定 时 间 
才 发 作 ,而 随机 病毒 一 般 不 是 由 时 钟 来 激活 的 。 

6. 按照 寄生 方式 和 传染 途径 分 类 

计算 机 病毒 按 其 寄生 方式 可 分 为 两 类 ,一 是 引导 型 病毒 .二 是 文件 型 病毒 ; 它们 再 按 其 
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传染 途径 又 可 分 为 驻 留 内 存 型 和 不 驻 留 内 存 型 , 驻 留 内 存 型 按 其 驻 留 内 存 方式 又 可 细 分 。 
混合 型 病毒 集 引 导 型 和 文件 型 病毒 特性 于 一 体 。 

1) 引导 型 病毒 

引导 型 病毒 是 一 种 在 ROM BIOS 之 后 ,系统 引导 时 出 现 的 病毒 , 它 先 于 操作 系统 ,依托 
的 环境 是 BIOS 中 断 服务 程序 。 引 导 型 病毒 常 驻 在 内 存 中 。 

引导 型 病毒 按 其 寄生 对 象 的 不 同 又 可 分 为 两 类 , 即 MBR( 主 引导 区 ) 病 毒 和 BR( 引 导 
区 ) 病 毒 。MBR 病毒 也 称 为 分 区 病毒 ,将 病毒 寄生 在 硬盘 分 区 主 引导 程序 所 占据 的 硬盘 0 
头 0 柱 面 第 1 个 扇 区 中 。 典 型 的 病毒 有 大 麻 (Stoned) .2708 等 。BR 病毒 是 将 病毒 寄生 在 
硬盘 逻辑 0 扇 区 或 软盘 逻辑 0 扇 区 ( 即 0 面 0 道 第 1 个 扇 区 )。 典 型 的 病毒 有 Brain、 小 球 病 

2) 文件 型 病毒 

文件 型 病毒 主要 以 感染 可 执行 程序 为 主 。 它 的 安装 必须 借助 于 病毒 的 载体 程序 , 即 要 
运行 病毒 的 载体 程序 , 方 能 把 文件 型 病毒 引入 内 存 。 感 染病 毒 的 文件 被 执行 后 ,病毒 通常 会 
趁机 再 对 下 一 个 文件 进行 感染 。 

文件 型 病毒 分 为 源码 型 病毒 、 幅 入 型 病毒 和 外 这 型 病毒 。 源 码 型 病毒 是 用 高 级 语言 
写 的 , 若 不 进行 汇编 .链接 则 无 法 传染 扩散 。 骨 入 型 病毒 是 嵌入 在 程序 中 间 的 , 它 只 能 针对 
某 个 具体 程序 ,如 dBASE 病毒 。 文 件 外 壳 型 病毒 按 其 驻 留 内 存 方式 可 分 为 高 端 驻 留 型 、 常 
规 驻 留 型 ,内存 控制 链 驻 留 型 .设备 程序 补丁 驻 留 型 和 不 驻 留 内 存 型 。 

【 例 10-1】 CIH 病毒 。 

产生 于 1998 年 的 CIH 病毒 属于 文件 型 病毒 ,通过 网 络 或 移动 介质 传播 ,主要 感染 
Windows 95/98/Me 系统 下 的 可 执行 文件 ,CIH 发 作 时 ,可 以 破坏 计算 机 的 主板 和 硬盘 。 
CIH 病毒 会 向 主板 可 擦 写 的 BIOS 中 写 入 垃圾 信息 ,导致 BIOS 中 的 内 容 被 洗 去 ,造成 计算 
机 无 法 启动 。CIH 病毒 一 般 潜 伏 在 系统 中 ,并 在 固定 的 日 期 发 作 。 


10.1.2 计算 机 病毒 的 结构 


根据 计算 机 病毒 的 工作 流程 ,病毒 一 般 由 感 当 标记、 感染 模块 .触发 模块 .破坏 模块 ( 表 
现 模 块 ) 和 主 控 模 块 构成 。 

感染 标记 又 称病 毒 签 名 。 病 毒 程序 感染 宿主 程序 时 ,要 把 感染 标记 写 入 宿主 程序 ,作为 
该 程序 已 被 感染 的 标记 。 感 染 标记 是 一 些 数 字 或 字符 串 , 通 常 以 ASCII 方式 存放 在 程序 
里 。 病 毒 在 感染 健康 程序 以 前 , 先 要 对 感染 对 象 进行 搜索 ,查看 它 是 否 带 有 感染 标记 。 如 果 
有 ,说 明 它 被 感染 过 ,就 不 再 进行 感染 ; 如 果 没 有 ,病毒 就 感染 该 程序 。 不 同 的 病毒 感染 标 
记 位 置 不 同 ,内 容 不 同 。 例 如 ,巴基斯坦 病毒 感染 标记 在 BOOT 扇 区 的 O4H 处 ,内 容 为 
1234H; 大 麻 病毒 在 主 引导 扇 区 或 BOOT 扇 区 的 0H 处 ,内 容 为 EA0500C007; 耶路撒冷 病 
毒 在 感染 文件 的 尾部 ,内 容 是 MsDos。 

感染 模块 是 病毒 进行 感染 时 的 动作 部 分 ,感染 模块 主要 做 3 件 事 : 四 寻找 一 个 可 执行 
文件 ; @@ 检 查 该 文件 是 否 有 感染 标记 ; @ 如 果 没 有 感染 标记 ,进行 感染 ,将 病毒 代码 放 入 宿 
主 程序 。 

破坏 模块 负责 实现 病毒 的 破坏 动作 ,其 内 部 是 实现 病毒 编写 者 预定 的 破坏 动作 的 代码 。 
这 些 破 坏 动作 可 能 是 破坏 文件 数据 .破坏 计算 机 的 时 间 效率 和 空间 效率 或 者 使 机 器 崩溃 。 
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和 触发 模块 根据 预定 条 件 满足 与 否 ,控制 病毒 的 感染 或 破坏 动作 。 依 据 触发 条 件 的 情况 ， 
可 以 控制 病毒 的 感染 或 破坏 动作 的 频率 ,使 病毒 在 隐蔽 的 情况 下 ,进行 感染 或 破坏 动作 。 病 
毒 的 触发 条 件 有 多 种 形式 ,例如 日 期 时间、 发 现 特定 程序 .感染 的 次 数 . 特 定 中 断 的 调用 
次 数 。 

主 控 模块 在 总 体 上 控制 病毒 程序 的 运行 ,其 基本 动作 如 下 : 调用 感染 模块 ,进行 感 
染 ; 回调 用 触发 模块 ,接收 其 返回 值 ; @® 如 果 返 回 真 值 ,执行 破坏 模块 ; @ 如 果 返 回 假 值 , 执 
行 后 续 程 序 。 

感染 了 病毒 的 程序 运行 时 ,首先 运行 的 是 病毒 的 主 控 模 块 。 实 际 上 病毒 的 主 控 模 块 除 
上 述 基 本 动作 外 ,一 般 还 做 下 述 工作 : 调查 运行 的 环境 ; @ 常 驻 内 存 的 病毒 要 做 包括 请 
求 内 存 区 、 传 送 病毒 代码 、 修 改 中 断 矢 量 表 等 动作 ,这 些 动 作 都 是 由 主 控 模块 进行 的 ;， @@ 病 
毒 在 过 到 意外 情况 时 ,必须 能 流畅 运行 ,不 应 死 锁 。 下 面 用 伪 代 码 对 病毒 的 结构 进行 详细 
描述 。 





1. program virus:= 

2 {1234567: 

| subroutine infect - executable: = 

4. {loop:file= get— random - executable- file; 
5, if first— line- of-file=1234567 then goto loop; 
6 prepend virus to file; 

Ta 中 

8. subroutine do- damage: = 

9. {whatever damage is to be done} 

10. subroutine trigger~ pulled: = 

11. {return true if some condition holds} 
12.main~ program: = 

13. {infect - executable; 

14. 证 trigger~— pulled then do- damage; 

15. goto next;} 

16.next:} 


病毒 从 主 程 序 开始 , 先 执 行 infect-executable 子 程序 ,病毒 程序 (V) 搜 索 一 个 未 被 病毒 
感染 的 可 执行 程序 (E)。 根 据 程 序 开始 行 有 无 *1234567” 判 定 程 序 是 否 被 病毒 感染 。 如 果 
开始 行为 1234567, 则 表示 程序 已 被 病毒 感染 ,不 再 进行 传染 ; 如 果 开 始 行 不 是 1234567, 则 
表示 程序 没有 被 病毒 感染 ,把 病毒 (V) 放 到 可 执行 程序 (E) 的 前 面 ,使 之 成 为 感染 的 文件 
(D ,PREPEND 语句 的 作用 就 是 将 (V) 放 到 (E) 的 前 面 。 

接着 ,病毒 程序 (V) 检 查 激发 条 件 是 否 为 真 , 如 果 为 真 , 则 执行 DO-DAMAGE 子 程序 ， 
即 进行 破坏 ,最 后 (V) 执 行 它 所 附着 的 程序 ; 如 果 激 发 条 件 不 满足 , 则 执行 NEXT 其 他 的 子 
程序 。 当 用 户 要 运行 可 执行 程序 (E) 时 .实际 上 是 (ID) 被 运行 , 它 传染 其 他 的 文件 ,然后 再 像 
(E) 一 样 运行 , 当 (I) 的 激发 条 件 得 到 满足 时 ,就 去 执行 破坏 活动 ,否则 除了 传染 其 他 的 文件 
要 占用 一 定 的 系统 开销 外 ,(1) 和 (E) 都 具有 相同 的 功能 。 

一 个 病毒 程序 的 作用 ,其 关键 在 于 动态 执行 过 程 中 具有 病毒 传递 性 。 需 要 指出 ,病毒 并 
不 一 定 要 把 自身 附加 到 其 他 程序 前 面 .也 不 一 定 每 次 运行 只 感染 一 个 程序 。 如 果 修 改 病毒 
程序 (V) ,指定 激发 的 日 期 和 时 间 , 并 控制 感染 的 多 次 进行 , 则 有 可 能 造成 病毒 扩散 到 整个 
计算 机 系统 ,从 而 使 系统 处 于 瘫痪 状态 。 
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10.1.3 计算 机 病毒 的 检测 


计算 机 病毒 的 检测 方法 主要 有 长 度 检测 法 、 病 毒 签名 检测 法 、 特 征 代码 检测 法 、 校 验 和 
法 .行为 监测 法 等 。 这 些 方法 依据 的 原理 不 同 , 实 现时 所 需 开 销 不 同 , 检 测 范围 不 同 ,每 种 方 
法 均 有 其 自身 的 优 缺点 。 

1. 长 度 检 测 法 

病毒 最 基本 的 特征 是 感染 性 ,感染 后 通常 会 引起 宿主 程序 的 增长 ,一 般 增长 几 百 字 节 。 
长 度 检测 法 ,就 是 从 文件 长 度 的 非法 增长 发 现 病毒 。 不 同 病 毒 使 文件 增长 的 长 度 一 般 不 同 ， 
因而 从 文件 增长 的 字 节 数 可 以 大 致 断定 文件 感染 了 何 种 病毒 。 以 文件 长 度 是 否 增长 作为 检 
测 病毒 的 依据 ,在 许多 场合 是 有 效 的。 但 是 ,长 度 检测 法 有 其 局 限 性 ,例如 某 些 病毒 感染 文 
件 时 ,宿主 文件 长 度 可 保持 不 变 , 因 而 只 检查 可 疑 程序 的 长 度 是 不 充分 的 。 

2. 病毒 签名 检测 法 

病毒 签名 (病毒 感染 标记 ) 是 宿主 程序 被 病毒 感染 的 标记 ,不 同 病 毒 感染 宿主 程序 时 ,在 
宿主 程序 的 不 同位 置 放 和 人 特殊 的 感染 标记 。 这 些 标 记 是 一 些 数字 串 或 字符 串 , 例 如 1357、 
1234.MsDOS FLU 等 。 不 同 病 毒 的 病毒 签名 内 容 不 同 、 位 置 不 同 。 经 过 放 析 病毒 样本 ,掌握 
了 病毒 签名 的 内 容 和 位 置 之 后 ,可 以 在 可 疑 程 序 的 特定 位 置 搜 索 病 毒 签名 。 如 果 找 到 了 病毒 
签名 ,那么 可 以 断定 可 疑 程序 中 有 病毒 .是 何 种 病毒 。 这 种 方法 称 为 病毒 签名 检测 方法 。 

3. 特征 代码 检测 法 

病毒 签名 是 一 个 特殊 的 识别 标记 , 它 不 是 可 执行 代码 ,并 非 所 有 病毒 都 具备 病毒 签名 。 
病毒 本 身 一 般 以 二 进 制 代码 的 形式 存在 ,其 中 存在 某 一 个 代码 序列 用 于 唯一 标识 一 个 病毒 ， 
称 为 特征 代码 。 某 些 病 毒 判断 宿主 程序 是 否 受 到 感染 是 以 宿主 程序 中 是 否 含有 特征 代码 作 
为 判断 依据 ,因此 , 反 病 毒 专家 也 采用 了 类 似 的 方法 检测 病毒 ,在 可 疑 程序 中 搜索 某 些 特殊 
代码 , 称 为 特征 代码 检测 法 。 特 征 代码 检测 法 被 普遍 用 于 各 商业 反 病 毒 工具 软件 中 ,是 检测 
已 知 病毒 的 最 简单 .开销 最 小 的 方法 。 实 施 特 征 代码 需要 经 过 以 下 两 个 步骤 。 

1) 建立 特征 代码 库 

专业 反 病毒 人 员 首 先 采集 病毒 样本 ,通过 分 析 、 抽 取得 到 特征 代码 。 抽 取 的 特征 代码 要 
具有 特殊 性 ,能 够 在 大 范围 的 匹配 中 唯一 标识 病毒 ,因此 特征 代码 的 长 度 不 应 太 短 ,但 为 了 
提高 匹配 效率 、 减 少数 据 存 储 负担 ,特征 代码 的 长 度 也 不 应 太 长 ,一般 为 十 几 字 节 。 特 征 代 
码 被 加 入 特征 代码 库 , 库 中 存储 了 大 量 已 知 恶 意 代码 的 特征 代码 。 

一 般 计 算 机 病毒 的 特征 代码 为 十 几 字 节 ,但 有 的 代码 由 于 较为 特殊 而 更 短 , 表 10. 1 给 
出 了 几 个 计算 机 病毒 的 特征 代码 。 


表 10.1 计算 机 病毒 的 特征 代码 





病毒 名 称 病毒 的 特征 代码 (十 六 进 制 ) 
DISK Killer C3 10 E2 F2 C5 06 F3 01 FF 90 EB 55 
CIH 55 8D 44 24 F8 33 DB 64 
ItaVir 48 EB D8 1C D3 95 13 93 1B D3 97 


Vecomm 0A 95 4C B3 93 47 E1 60 B4 
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2) 特征 代码 匹配 

根据 特征 代码 库 , 检 测 工具 对 检测 目标 实施 代码 扫描 ,逐一 检查 特征 代码 库 中 的 特征 代 
码 是 否 存在 。 为 了 加 快 匹配 ,特征 代码 一 般 也 记录 了 特征 代码 出 现 的 位 置 。 

特征 代码 检测 法 检测 较为 准确 ,有 利于 清除 工作 ,但 是 ,由 于 该 方法 不 能 检测 出 未 知 的 
恶意 代码 ,特征 代码 库 要 经 常 更 新 ,而 且 在 特征 代码 库 尺寸 比较 大 时 ,匹配 开销 比较 大 。 

4. 校 验 和 法 

很 多 检测 工具 都 为 用 户 提供 了 一 种 文件 完整 性 保护 方法 一 一 校 验 和 法 , 它 计算 文件 的 
校 验 和 ,将 该 校 验 和 写 入 被 保护 文件 、 其 他 文件 或 内 存 中 。 计 算 校 验 和 类 似 于 计算 散 列 值 。 
在 文件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 根据 文件 当前 内 容 算出 的 校 验 和 与 原来 
保存 的 校 验 和 是 否 一 致 ,从 而 发 现 文件 是 否 感 染 , 这 种 方法 叫 校 验 和 法 。 

这 种 方法 既 能 发 现 已 知 病毒 ,也 能 发 现 未 知 病毒 ,但 是 , 它 不 能 识别 病毒 种 类 。 由 于 病 
毒 感染 并 非 文件 内 容 改 变 的 唯一 的 原因 ,文件 内 容 的 改变 有 可 能 是 正常 程序 引起 的 ,所 以 校 
验 和 法 常常 误 报警 。 而 且 此 种 方法 也 会 影响 文件 的 运行 速度 。 

5. 行为 监测 法 

病毒 在 执行 过 程 中 可 能 存在 一 些 特 殊 的 行为 ,行为 监测 法 就 是 通过 发 现 它们 进行 报警 。 
例如 一 般 用 户 程序 很 少 修改 可 执行 文件 ,而 可 执行 文件 是 病毒 主要 的 感染 对 象 ,因此 一 旦 有 
程序 要 修改 可 执行 文件 ,可 以 立即 分 析 这 个 程序 的 来 历 , 判 断 其 是 否 为 恶意 代码 ; 一 些 文件 
型 病毒 在 执行 完 病 毒 代码 后 转 而 执行 原宿 主 程序 ,因此 存在 较 大 的 上 下 文 环境 变化 ,这 是 病 
毒 的 行为 特征 之 一 。 

采用 行为 监测 法 可 以 识别 病毒 的 名 称 或 种 类 ,也 可 以 检测 未 知 病毒 ,但 是 也 存在 一 定 的 
误 报 。 

6. 软件 模拟 法 

一 些 多 态 性 病毒 在 每 次 感染 中 都 变化 其 病毒 代码 (例如 每 次 用 不 同 的 密 钥 加 密 病 毒 代 
码 ) ,对 付 这 种 病毒 ,特征 代码 法 失效 。 虽然 行为 检测 法 可 以 检测 多 态 性 病毒 ,但 是 在 检测 出 
病毒 后 ,因为 不 知 病毒 的 种 类 ,难以 做 消毒 处 理 。 

软件 模拟 法 用 可 控 的 软件 模拟 器 模拟 恶意 代码 的 执行 ,在 执行 中 确认 恶意 代码 的 特征 。 
该 类 工具 开始 运行 时 ,使 用 特征 代码 法 检测 病毒 ,如 果 发 现 隐蔽 病毒 或 多 态 性 病毒 嫌疑 时 ， 
启动 软件 模拟 模块 ,监视 病毒 的 运行 , 待 病毒 自身 的 密码 译 码 以 后 ,再 运用 特征 代码 法 来 识 
别 病毒 的 种 类 。 

软件 模拟 法 在 执行 中 代价 相对 较 高 ,一 般 仅 面向 常用 方法 失效 的 情况 。 

7. 感染 实验 法 

感染 实验 是 一 种 简单 实用 的 检测 病毒 方法 。 这 种 方法 的 原理 是 利用 病毒 的 最 重要 的 基 
本 特征 一 一 感染 特性 。 计 算 机 病毒 在 内 存 驻 留 期 间 往往 感染 那些 获得 执行 或 打开 的 文件 。 
感染 实验 法 的 原理 是 将 一 些 已 确定 是 干净 的 文件 复制 到 可 能 含有 病毒 的 系统 中 ,反复 执行 
或 打开 它们 ,根据 它们 长 度 或 内 容 上 的 变化 来 确定 病毒 的 存在 。 

感染 实验 法 简单 ,实用 ,可 以 检测 未 知 计算 机 病毒 的 存在 ,但 一 般 较 难 识别 病毒 的 
名 称 。 
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10.1.4 病毒 防御 


1. 反 病 毒 软件 


反 病 毒 软件 是 现在 最 为 普遍 的 病毒 防御 安全 机 制 。 反 病毒 软件 检测 恶意 代码 的 方法 是 
利用 病毒 的 特征 码 , 防 病毒 软件 商 收集 病毒 样本 并 采集 其 特征 码 ,通常 反 病毒 软件 数据 库 中 
收录 成 千 上 万 个 病毒 特征 码 , 当 反 病 毒 软件 扫描 文件 时 ,将 当前 文件 和 病毒 特征 相 比 较 , 检 
测 是 否 有 文件 片段 和 特征 码 相 吻合 ,以 此 判断 文件 是 否 染 毒 。 

对 于 基于 病毒 特征 码 的 检测 方法 ,最 大 的 挑战 是 反 病 毒 软件 只 有 包含 了 这 个 特征 码 , 才 
能 够 在 系统 中 发 现 病毒 。 这 意味 着 反 病毒 软件 供应 商 需要 收集 完备 的 病毒 样本 ,并 且 尽 快 
开发 出 标志 它们 的 特征 码 分 发 给 用 户 ,而 用 户 则 要 每 隔 一 段 时 间 下 载 最 新 的 病毒 特征 库 , 即 
使 快速 频繁 地 更 新 ,匹配 病毒 特征 码 的 方法 仍然 有 不 可 克服 的 缺点 ,因为 反 病 毒 软 件 总 是 走 
在 病毒 的 后 面 ,只 有 等 病毒 开始 传播 了 ,才能 够 及 时 收集 到 样本 ,而 往往 病毒 已 经 造成 了 
破坏 。 

2. 强化 配置 .加 强 管理 


强化 配置 的 目的 是 使 环境 尽 可 能 地 不 被 病毒 感染 ,同时 阻止 被 感染 后 病毒 的 传播 , 例 
如 ,可 以 通过 在 微软 Word 中 进行 设置 禁止 宏 的 执行 ,也 可 以 在 浏览 器 中 设置 禁止 下 载 不 可 
信 的 插件 。 一 定 的 管理 制度 也 有 利于 更 好 地 抵御 病毒 的 侵害 ,例如 加 强 对 光盘 \ 移 动 硬盘 等 
介质 和 网 络 下 载 的 管理 可 以 减少 文件 病毒 的 传播 。 





10.2 特洛伊 木马 


特洛伊 木马 (Trojan Horse) 简 称 木马 ,名 称 来 源 于 希腊 神话 《木马 屠城 记 》, 在 古 希 腊 传 
说 中 ,特洛伊 王子 帕 里 斯 访问 希腊 , 诱 走 了 王后 海伦 ,希腊 人 因此 远征 特洛伊 ,由 于 特洛伊 城 
池 牢 固 易 守 难 攻 ,希腊 军队 和 特洛伊 勇士 们 对 峙 长 达 10 年 之 久 , 和 希腊 将 领 奥 德 修 斯 献 了 一 
计 , 让 希腊 军队 假装 撤退 , 留 下 一 具 巨 大 的 中 空 木马 ,特洛伊 守 军 不 知 是 计 ,把 木马 运 进 城中 
作为 战利品 。 夜 深信 静 之 际 , 木 马 腹 中 躲藏 的 希腊 士兵 打开 城 门 ,希腊 将 士 一 拥 而 人 攻 下 了 
城池 ,特洛伊 沦陷 。 后 人 常用 “特洛伊 木马 ”这 一 典故 ,用 来 比喻 在 敌 方 营 驹 里 埋 下 伏兵 里 应 
外 合 的 活动 。 

在 计算 机 领域 ,我 们 将 表面 上 看 似 正常 的 程序 ,但 实际 上 却 隐 含 着 恶意 意图 的 恶意 代码 
称 为 木马 。 为 什么 要 把 这 样 的 黑客 工具 叫做 特洛伊 木马 呢 ? 我 们 可 以 进行 这 样 的 对 比 : 入 
侵 者 即 黑客 ,相当 于 希腊 军队 ,他 想 要 入 侵 的 是 某 个 主机 ,相当 于 特洛伊 城 , 而 该 主机 比较 安 
全 ,黑客 无 法 从 正面 攻 入 该 主机 。 因 此 ,黑客 使 用 一 个 迷惑 性 的 外 过 包装 了 恶意 的 木马 程 
序 , 并 诱 使 主机 的 用 户 自己 将 木马 程序 下 载 到 主机 中 并 执行 。 当 木马 执行 后 ,黑客 就 可 以 利 
用 木马 所 突破 的 通道 进入 主机 中 。 这 是 不 是 非常 类 似 于 “特洛伊 战争 ”? 这 就 是 之 所 以 称 其 
为 特洛伊 木马 的 原因 。 


10.2.1 木马 的 功能 与 特点 
特洛伊 木马 是 黑客 常用 的 一 种 攻击 工具 , 它 伪 装 成 合法 程序 , 植 入 目标 系统 ,对 计算 机 
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网 络 安全 构成 严重 威胁 。 特 洛 伊 木马 程序 与 一 般 的 病毒 不 同 , 它 不 会 “刻意 ”地 去 感染 其 他 
文件 ,也 就 是 没有 传染 性 ,另外 病毒 的 主要 目的 是 破坏 数据 ,而 木马 的 主要 目的 是 偷窃 数据 。 
木马 的 基本 功能 如 下 。 

1. 窃取 数据 

以 窃取 用 户 的 网 游 账 号 、 网 银 账 号 和 密码 等 重要 信息 为 目的 ,这 是 木马 最 常见 的 功能 。 
木马 可 以 侦 测 到 一 切 以 明文 的 形式 或 缓存 在 Cache 中 的 密码 。 

2. 远程 控制 

目前 常见 的 远程 控制 操作 有 以 下 两 种 : 一 是 实时 截取 用 户 屏幕 图 像 , 监 视 远 程 用 户 当 
前 正在 进行 的 操作 ; 二 是 远程 桌面 控制 ,通过 远程 控制 窗口 或 命令 ,直接 控制 目标 计算 机 进 
行 相应 操作 ,例如 在 目标 计算 机 上 执行 程序 攻击 其 他 计算 机 等 。 

3. 远程 文件 管理 

攻击 者 可 通过 远程 控制 对 被 控 主 机 上 的 文件 进行 复制 .删除 、 上 传 、 下 载 等 一 系列 操作 ， 
基本 涵盖 了 Windows 平台 上 所 有 的 文件 操作 功能 。 

4. 打开 未 授权 的 服务 

木马 程序 被 植 人 远程 用 户 后 ,可 以 偷偷 安装 及 打开 某 些 服务 ,使 其 为 攻击 者 服务 。 例 如 
打开 文件 共享 服务 ,这 样 攻击 者 就 可 以 下 载 自 己 需要 的 文件 ; 或 者 打开 FTP 服务 ,把 被 控 
主机 设 定 为 FTP 文件 服务 器 ,使 其 提供 FTP 文件 传输 服务 。 

主流 木马 的 功能 一 般 比 较 强 大 ,诸如 Back Orifice、Sub7、 冰 河 等 木马 的 功能 便 十 分 全 
面 。 它 们 不 仅 可 以 搜集 和 窃取 用 户 账户 密码 等 数据 信息 ,还 能 够 用 作 Telnet 服务 器 、 
HTTP 服务 器 .远程 控制 器 、 键 盘 记 录 器 等 。 尤 其 是 一 些 恶 性 木马 还 具有 反 侦 测 能 力 , 隐 项 
性 强 。 这 类 木马 由 于 实现 功能 较 多 ,导致 体积 较 大 ,一 般 可 以 达到 100 一 300KB。 而 有 些 森 
马 被 设计 用 来 完成 特定 操作 ,为 后 续 入 侵 提 供 便利 ,诸如 ProtectedStorage 木马 、Keylogger 
木马 等 。 此 类 木马 往往 用 于 窃取 初始 远程 控制 能 力 , 为 在 用 户 系统 中 安装 功能 全 面 的 大 型 
木马 提供 便利 ,这些 木马 功能 便 比 较 单一 ,体积 也 较 小 ,通常 在 10KB 左右 。 

随 着 木马 技术 的 发 展 ,出 现 了 形态 各 异 的 木马 ,它们 使 用 不 同 程序 语言 编写 ,运行 在 不 
同 的 平台 环境 下 ,采用 的 技术 也 不 尽 相 同 , 但 是 它们 仍然 有 着 许多 共同 的 特点 。 

(1) 隐蔽 性 。 隐 项 性 是 木马 的 突出 特点 。 木 马 必 须 采 用 各 种 技术 隐藏 自己 ,实现 长 期 
潜伏 于 目标 机 器 中 而 不 被 用 户 发 现 。 例 如 木马 通常 会 设置 自身 文件 的 属性 为 “隐藏 > 和”* 系 
统 ”, 并 把 文件 名 改 成 与 系统 文件 类 似 来 隐蔽 自己 ,或 者 伪装 成 图 片 ,文本 等 非 可 执行 文件 。 
木马 通过 各 种 技术 实现 木马 文件 隐藏 启动 隐藏 进程 隐藏 ,内 核 模块 隐藏 和 通信 隐藏 。 

(2) 自 启动 性 。 自 启动 性 也 是 木马 的 重要 特征 。 木 马 只 有 伴随 系统 启动 才能 更 好 地 完 
成 自身 的 功能 。 典 型 的 木马 自动 加 载 技 术 有 修改 系统 “启动 ”项 ; 修改 注册 表 的 相关 键 值 ， 
修改 “组 策略 ”; 修改 系统 配置 文件 (Win. ini、System. ini 和 Autorun. bat 等 ); 利用 文件 关 
联 技术 和 文件 动 持 技 术 等 , 随 着 木马 技术 的 发 展 ,各 种 更 加 先进 的 自 启动 技术 也 不 断 涌现 。 

(3) 自动 恢复 性 。 许 多 木马 程序 不 再 由 单一 文件 组 成 ,而 是 由 多 个 木马 文件 协同 工作 ， 
具有 多 重 备份 。 这 些 文件 同时 运行 ,互相 检查 其 他 文件 是 否 被 删除 。 一 旦 发 现 其 他 文件 被 
删除 ,就 会 将 其 自动 恢复 。 同 时 ,木马 可 以 使 用 多 个 守护 进程 ,这 些 进 程 相互 监视 ,达到 防止 
木马 进程 被 关闭 的 目的 。 
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(4) 易 植 和 性。 向 目标 主机 成 功 植 人 木马 ,是 木马 成 功 运行 ,发 挥 作用 的 前 提 。 易 植 人 
性 就 成 为 木马 有 效 性 的 先决 条 件 。 通 过 电子 邮件 传播 是 木马 最 常见 的 植 和 手段。 木马 程序 
往往 伪装 成 电子 贺卡 或 图 片 ,欺骗 用 户 打 开 。 与 免费 共享 文件 绑 定 也 是 木马 植 入 的 重要 手 
段 。 用 户 下 载 后 ,只 要 运行 这 些 程序 ,木马 就 会 自动 安装 。 另 外 ,木马 也 经 常 利用 系统 的 一 
些 漏洞 进行 植 和 人 。 

【 例 10-2】 PKZip 木马 。 

PKZip 是 一 个 被 广泛 使 用 的 文件 压缩 程序 ,在 PKZip 的 版 本 达到 2.04 时 ,网 上 出 现 了 
PKZip 300, 它 看 起 来 像 PKZip 的 更 新 版 本 (木马 具有 伪装 性 ) ,但 当 用 户 下载 并 运行 后 ， 
PKZip 300 对 硬盘 立即 实施 攻击 ,造成 系统 破坏 。 


10.2.2 木马 工作 机 理 分 析 


木马 程序 大 多 采用 C/S 架构 ,其 中 ,服务 器 端 程序 潜入 目标 机 内 部 ,获取 系统 操作 权 
限 ,接收 控制 指令 ,并 根据 指令 或 配置 发 送 数据 给 控制 端 。 服 务 端 程序 通常 隐藏 在 一 些 合法 
程序 或 数据 当中 ,例如 ,游戏 软件 .工具 软件 .电子 邮件 的 附件 、 网 页 等 , 某 个 系统 “中 了 木 
马 ”, 就 是 指 安装 了 木马 的 服务 端 程序 。 客 户 端 程序 又 称 为 控制 端 程序 ,用 来 远程 控制 被 植 
入 木马 的 机 器 ,安装 在 控制 者 的 计算 机 , 它 的 作用 是 连接 木马 服务 器 端 程序 ,监视 或 控制 远 
程 计算 机 。 

典型 的 木马 工作 原理 是 : 当 服务 器 端 在 目标 计算 机 上 被 执行 后 ,木马 打开 一 个 默认 的 
端口 进行 监听 , 当 客 户 机 向 服务 器 端 提出 连接 请 求 时 ,服务 器 上 的 相应 程序 就 会 自动 运行 来 
应 答 客 户 机 的 请 求 , 服 务 器 端 程序 与 客户 端 建立 连接 后 ,由 客户 端 发 出 指令 ,服务 器 在 计算 
机 中 执行 这 些 指令 ,并 将 数据 传送 到 客户 端 ,以 达到 控制 主机 的 目的 。 这 种 由 控制 端 向 服务 
器 端 发 起 通信 的 木马 称 为 正 向 连接 型 木马 ,是 当前 木马 最 广泛 采用 的 方式 ,但 是 由 于 防火 墙 
对 于 由 外 部 向 内 部 发 起 的 连接 过 滤 严 格 ,这 种 通信 方式 不 能 穿 透 防火 墙 。 为 了 规避 防火 墙 
的 限制 ,又 出 现 了 反 向 连接 型 木马 ,这 种 木马 通信 时 由 服务 器 端 向 控制 端 发 起 连接 。 木 马 服 
务 器 端 程序 首先 通过 一 个 指定 的 第 三 方 网 址 获取 木马 攻击 者 的 IP 地 址 ,然后 根据 该 IP 地 
址 向 控制 端 发 起 连接 ,例如 灰 铝 子 木 马 就 采用 这 种 连接 方式 。 

木马 的 一 般 攻 击 过 程 包括 配置 木马 ,传播 木马 、 运 行 木 马 \ 信 息 泄露 ,建立 连接 、 远 程控 
制 6 个 步骤 实现 。 

1. 配置 木马 

一 般 来 说 ,一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 ,从 具体 的 配置 内 容 来 看 ,主要 是 为 
了 实现 以 下 两 个 方面 的 功能 。 

(1) 木马 伪装 : 木马 配置 程序 为 了 在 服务 端 尽 可 能 最 好 地 隐藏 木马 ,可 以 通过 配置 采 
用 多 种 伪装 手段 ,如 修改 图 标 、 绑 定 文件 .定制 端口 和 自我 销毁 等 。 

(2) 信息 反馈 : 木马 配置 程序 可 以 配置 信息 反馈 方式 或 地 址 ,如 设置 信息 反馈 的 邮件 
地 址 IRC 号 和 ICQ 号 等 。 

2. 传播 木马 

木马 传播 主要 有 两 种 方式 : 一 种 是 通过 E-mail, 控 制 端 木马 程序 以 附件 的 形式 夹 在 邮 
件 中 发 送出 去 , 收 信 人 只 要 打开 附件 系统 就 会 感染 木马 ; 另 一 种 是 软件 下 载 , 一 些 非 正规 的 
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网 站 以 提供 软件 下 载 为 名 义 , 将 木马 绑 定 在 软件 安装 程序 上 ,下 载 后 ,只 要 一 运行 这 些 程序 ， 
木马 就 会 自动 安装 。 

3. 运行 木马 

服务 端 用 户 运行 木马 或 绑 定 木马 的 程序 后 ,木马 就 会 自动 进行 安装 。 如 首先 将 自身 找 
贝 到 Windows 的 系统 文件 夹 中 C:\WINDOWS 或 C:\WINDOWS\SYSTEM 目录 下 ,然后 
在 注册 表 、 启 动 组 、 非 启动 组 中 设置 好 木马 的 触发 条 件 ,这 样 木马 的 安装 就 完成 了 ,安装 后 就 
可 以 启动 木马 。 一 般 木马 会 随 系统 自动 启动 。 

4. 信息 泄露 

一 般 来 说 ,设计 成 熟 的 木马 都 有 一 个 信息 反馈 机 制 , 所 谓 信息 反馈 机 制 是 指 木马 成 功 安 
装 后 会 收集 一 些 服务 端的 软 硬 件 信息 ,并 通过 E-mail、ICQ 的 方式 告知 控制 端 用 户 。 

5. 建立 连接 

在 服务 器 端 已 经 安装 了 木马 程序 ,在 线 并 启动 木马 的 前 提 下 ,控制 端 可 以 通过 木马 端口 
与 服务 器 建立 连接 。 

6. 远程 控制 

木马 连接 建立 后 ,控制 端 和 服务 器 端 会 出 现 一 条 通道 ,控制 端 上 的 控制 程序 可 通过 这 条 
通道 与 服务 器 上 的 木马 程序 取得 联系 ,并 通过 木马 程序 对 服务 器 端 进行 远程 控制 ,一 般 可 以 
完成 窃取 密码 ,修改 注册 表 和 系统 操作 等 功能 。 


10.2.3 木马 实例 -冰河 木马 


1999 年 ,西安 电子 科技 大 学 学 生 黄 多 开发 了 冰河 木马 。 在 设计 之 初 ,开发 者 的 本 意 是 
编写 一 个 功能 强大 的 远程 控制 软件 。 但 一 经 推出 ,就 依靠 其 强大 的 功能 成 为 黑客 们 发 动人 
侵 的 工具 ,曾经 创造 了 黑客 使 用 量 最 大 、 计 算 机 感染 数量 最 多 的 奇迹 ,并 结束 了 国外 木马 一 
统 天 下 的 局 面 ,成 为 国产 木马 的 标志 和 代名词 。 

冰河 属于 远程 控制 型 木马 , 它 使 用 了 客户 端 /服务 器 的 方式 进行 工作 ,其 文件 组 成 主 
要 包括 客户 端 程序 G_Client. exe 与 服务 器 程序 G_Server. exe, 如 图 10. 1 所 示 。 冰 河 的 服 
务 器 程序 用 于 注 人 到 目标 计算 机 ,客户 端 程序 则 用 来 设置 服务 器 程序 和 监控 目标 计 


算 机 。 
ey GClient. exe 





图 10.1 冰河 的 文件 组 成 


1. 配置 木马 

如 果 要 利用 冰河 进行 网 络 人 侵 , 首 先 需要 使 用 冰河 客户 端 对 服务 器 程序 G_Server. exe 
进行 配置 。 选 择 客户 端 程序 中 [设置 3 主 菜单 中 的 【配置 服务 器 程序 ] 子 菜单 ,弹出 【服务 器 配 
置 ] 对 话 框 (如 图 10. 2 所 示 ) ,可 以 看 到 冰河 的 木马 配置 具体 包括 【基本 设置 了】 工 自我 保护 3 和 
【邮件 通知 ] 三 个 部 分 。 

图 10. 2 中 当前 打开 的 选项 卡 是 【基本 设置 】 ,界面 左下 方 的 【 待 配置 文件 3 指明 了 所 配置 
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国 基本 设置 | 一 自我 保护 | 儿 邮件 通知 | 


安装 中 径 : 文才 名 称 : atszzz 
进程 名 称 : |rindovs 访问 口令 : 
吉大 字符 : 





图 10.2 服务 器 配置 界面 


的 对 象 是 服务 器 端 程序 G_Server. exe。 黑 客 也 可 以 事先 对 服务 器 端 程序 进行 重 命名 , 青 使 
用 客户 端 进行 配置 操作 ,有 助 于 增强 隐蔽 性 。 

【安装 路 径 ] 选 项 用 于 确定 木马 服务 器 端 程序 植 和 人 目标 计算 机 后 的 安装 位 置 ,默认 是 安 
装 在 C:\Windows\system 系统 目录 下 。 同 时 ,黑客 可 以 设置 【文件 名 称 〗 和 【进程 名 称 】。 
文件 名 称 指 的 是 木马 服务 器 端 程序 在 感染 主机 上 的 名 称 ,默认 为 KERNEL32. EXE。 进 程 
名 称 是 木马 服务 器 端 程序 在 感 当主 机 上 运行 时 在 进程 栏 中 显示 的 名 称 , 默 认为 Windows。 
两 者 都 具有 很 强 的 欺骗 性 ,一 般 的 计算 机 用 户 如 果 通 过 手工 查看 的 方式 查找 木马 ,很 容易 误 
认为 木马 是 正常 的 系统 文件 ,而 不 会 及 时 进行 清除 。 

设置 [访问 口令 】 主 要 是 考虑 到 有 很 多 黑客 利用 冰河 进行 网 络 入侵 ,每 个 黑客 都 不 希望 
自己 侵入 的 主机 被 其 他 黑客 利用 。 通 过 设置 访问 口令 ,试图 访问 木马 的 用 户 必 须 输入 正确 
的 口令 才能 够 对 木马 实施 远程 控制 ,避免 了 攻击 成 果 被 其 他 黑客 所 利用 。 

设置 [敏感 字符 ] 可 以 指定 冰河 在 植 人 用 户 计算 机 后 收集 并 保存 与 敏感 字符 相关 的 信 
息 。 常 见 的 敏感 字符 包括 “口令 ”“ 密 码 ”“ 登 录 ”“ 账 户 ” 等 ,黑客 可 以 根据 自己 的 需求 进行 
设置 。 

【提示 信息 一 项 可 以 指定 冰河 在 受害 者 主机 上 运行 时 弹出 的 对 话 框 信息 ,该 设置 项 加 
认为 空 , 即 木马 程序 运行 时 没有 任何 提示 。 随 着 计算 机 用 户 安全 意识 的 不 断 增 强 , 用 户 如 果 
运行 了 一 个 文件 ,但 文件 没有 任何 响应 ,很 可 能 会 怀疑 文件 是 木马 等 恶意 程序 ,进而 利用 防 
病毒 软件 查 杀 。 通 过 设置 一 些 欺骗 性 的 提示 信息 ,如 “文件 校 验 错误 ,请 重新 下 载 " 等 ,反而 
不 容易 引起 用 户 怀 疑 , 为 木马 的 植 和 信和 运行 提供 便利 。 

【监听 端口 ] 的 设置 是 配置 木马 阶段 的 核心 工作 。 监 听 端 口 指 明了 木马 服务 器 端 程序 进 
行 监听 时 所 使 用 的 端口 。 黑 客 需要 根据 监听 端口 找到 木马 的 服务 器 端 程序 实施 远程 控制 。 
冰河 服务 器 端 程序 默认 的 监听 端口 是 7626 ,黑客 可 以 根据 需要 对 监听 端口 进行 灵活 设置 。 

冰河 的 基本 设置 还 要 求 黑 客 配置 【是 否 自动 删除 安装 文件 ]。 如 果 该 项 是 匀 选 的 ,在 默 
认 情 况 下 ,用 户 运行 G_Server. exe 文件 以 后 ,在 C:\Windows\system 系统 目录 下 将 生成 文 
件 KERNEL32. EXE。 程 序 KERNEL32. EXE 作为 木马 服务 器 端 程序 进行 破坏 活动 , 同 
时 ,G_Server. exe 作为 过 渡 性 的 安装 文件 将 被 自动 删除 。 
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【禁止 自动 拨号 了 一 项 默认 是 匀 选 的 。 如 果 人 允许 自动 拨号 ,冰河 的 服务 器 端 程序 将 在 每 
次 开机 时 自动 拨号 上 网 将 收集 到 的 信息 发 送 给 黑客 。 由 于 这 种 行为 过 于 明显 ,计算 机 用 户 
很 容易 发 现 系统 异常 。 从 隐蔽 性 的 角度 考虑 ,黑客 一 般 会 禁止 木马 的 自动 拨号 功能 。 

冰河 木马 配置 的 第 二 部 分 是 【自我 保护 ] 选 项 卡 ,其 设置 界面 如 图 10. 3 所 示 。 该 部 分 的 
第 一 项 设置 是 [ 写 入 注册 表 启 动 项 】, 如 果 色 选 该 项 ,冰河 的 服务 器 端 程序 会 通过 在 注册 表 的 
启动 项 中 增加 冰河 服务 器 程序 的 信息 ,保证 冰河 能 够 在 感染 主机 开机 时 自动 加 载运 行 。 冰 
河 木马 有 多 个 版 本 ,注册 表 的 修改 涉及 的 启动 项 主要 是 HKEY_LOCAL_MACHINE\ 
SOFTWARE\ MICROSOFT \ WINDOWS \ CURRENTVERSION \ RUN 和 HEKY _ 
LOCAL MACHINE\SOFTWARE\MICROSOFT\ WINDOWS\CURRENT VERSION\ 
RUNSERVICE 两 项 。 


国 基本 设置 一 自我 保护 | 名 邮件 通知 | 


厂 是 否 写 入 注册 表 的 启动 项 ,以 便 使 冰河 在 开机 时 自动 加 载 
厅 写 入 注册 表 启 动 项 。“ 键 名 : 





厂 是否 将 冰河 与 文件 类 型 相关 联 ,以 便 被 删除 后 在 打开 相关 文件 时 自动 恢复 


厅 关联 。 关联 类 型 : [TxtFije。 ”| 。 关联 文件 名 : [5YSEXPLE EXE 


符 配 置 文件 : 5_SERVER EXE 型 关闭 





10.3 ”冰河 木马 的 自我 保护 配置 界面 


黑客 可 以 设置 [是 否 将 冰河 与 文件 类 型 相关 联 , 以 便 被 删除 后 在 打开 相关 文件 时 自动 恢 
复 ] 选 项 。 该 选项 能 够 提高 冰河 服务 器 端 程序 在 感染 主机 上 的 存活 能 力 。 

黑客 可 以 对 冰河 的 服务 器 端 程序 进行 设置 ,将 冰河 程序 SYSEXPLR. EXE 与 指定 类 型 
的 文件 关联 在 一 起 。 例 如 ,如 果 所 关联 的 是 txt 类 型 的 文件 ,txtfile 子 键 下 shell\open\ 
command 键 的 默认 值 将 被 修改 为 “C:/windows/system/SYSEXPLR. EXE %1”。 文 件 关 
联 建 立 以 后 ,每 当 用 户 打开 txt 文件 ,冰河 程序 SYSEXPLR. EXE 将 被 激活 ,该 程序 会 判断 
系统 中 的 KERNEL32. EXE 是 否 还 存在 。 如 果 KERNEL32. EXE 运行 正常 ,SYSEXPLR. 
EXE 将 调用 系统 中 的 NOTEPAD. EXE 打开 txt 文件 ,同时 自动 退出 ,用 户 感觉 不 到 任何 异 
常 。 如 果 被 激活 的 SYSEXPLR. EXE 在 系统 中 找 不 到 KERNEL32. EXE, 它 将 重新 生成 
KERNEL32. EXE。 这 使 得 从 感染 主机 上 彻底 清除 冰河 变 得 非常 困难 。 

冰河 木马 配置 的 第 三 部 分 是 【邮件 通知 3 选项 卡 ,该 部 分 的 设置 界面 如 图 10.4 所 示 。 邮 


器 1 一 项 由 黑客 填充 ,设置 为 冰河 用 来 发 送 邮 件 的 SMTP 服务 器 ,【 接 收 邮箱 为 黑客 接收 信 
息 的 邮箱 。 黑 客 根据 自己 的 需要 ,可 以 选择 【系统 信息 【开机 口令 【缓存 口令 】【 共 享 资 
源 信息 3 中 的 一 项 或 者 多 项 作为 邮件 内 容 , 由 冰河 服务 器 端 程序 通过 邮件 发 送 给 自己 。 
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加 基本 设置 | 一 自我 保护 ”性 邮件 通知 





shTP 服 务 器 :| 接收 信箱 : | 


| :请 格 编 辑 框 清空 








件 内 容 
厅 系统 信息 厂 开机 口令 厂 缓存 口令 








竺 配置 文件 : 5_SERVER EXE 





图 10.4 冰河 木马 的 邮件 通知 设置 界面 


2. 传播 木马 

在 黑客 根据 自己 的 需求 配置 好 木马 的 服务 器 端 程序 以 后 ,下 一 步 的 工作 就 是 将 所 配置 
的 木马 程序 传播 出 来 ,让 尽 可 能 多 的 计算 机 用 户 感染 木马 。 传 播 木马 的 方式 多 种 多 样 ,例如 
网 站 挂 马 ` 利 用 电子 邮件 传播 .利用 聊天 软件 传播 和 在 用 户 下 载 中 传播 等 。 

3. 运行 木马 

冰河 木马 的 服务 器 程序 在 植 入 计算 机 后 ,会 根据 黑客 在 配置 木马 阶段 进行 的 设置 适时 
运行 ,为 黑客 实施 远程 控制 提供 服务 。 根 据 配置 木马 相关 知识 可 知 , 冰 河 服务 器 程序 根据 配 
置 可 以 开机 自 启 动 ,可 以 与 文件 类 型 相关 联 , 以 便 被 删除 后 再 打开 相关 文件 时 自动 恢复 。 

4. 信息 反馈 

木马 获得 运行 机 会 以 后 ,需要 把 感染 主机 的 一 些 信 息 反 馈 给 配置 和 散播 木马 的 黑客 。 
从 远程 控制 的 角度 看 ,黑客 最 关注 的 信息 是 受害 主机 的 IP 地 址 。 因 为 黑客 只 有 掌握 感染 主 
机 的 IP 地 址 ,才能 与 主机 上 运行 的 木马 程序 建立 连接 ,实施 远程 控制 。 

5. 建立 连接 

在 完成 信息 反馈 的 操作 之 后 ,下 一 步 就 是 建立 连接 。 根 据 信 息 反馈 方式 的 不 同 ,木马 的 
服务 器 端 程序 与 木马 的 客户 端 程序 建立 连接 的 方式 可 以 划分 为 两 种 。 第 一 种 是 木马 的 服务 
器 端 程序 进行 监听 ,木马 的 客户 端 程序 发 起 连接 请 求 。 采 用 这 种 方式 ,需要 木马 的 服务 器 端 
程序 将 感染 主机 的 信息 反馈 给 黑客 ,由 黑客 通过 木马 的 客户 端 程序 建立 连接 。 第 二 种 的 连 
接 方式 是 采用 反 向 连接 技术 ,由 木马 的 客户 端 程序 进行 监听 ,木马 的 服务 器 端 程序 发 起 连接 
请 求 。 这 种 连接 方式 需要 木马 的 服务 器 端 程序 掌握 木马 客户 端 主机 的 地 址 信息 ,以 保证 网 
络 连接 能 够 成 功 建立 。 

冰河 木马 采用 的 是 第 一 种 方式 ,除了 可 以 通过 邮件 通知 的 方式 将 感染 主机 的 信息 反馈 
给 黑客 外 ,黑客 可 以 使 用 扫描 工具 主动 在 网 络 上 查找 感染 主机 。 黑 客 在 木马 配置 阶段 可 以 
指定 冰河 服务 器 程序 在 哪 一 个 端口 进行 监听 ,为 了 避免 和 感染 主机 上 的 正常 程序 冲突 ,一般 
选择 比较 特殊 的 监听 端口 ,如 冰河 的 默认 端口 是 7626。 如 果 黑 客 在 配置 木马 时 指定 木马 的 
服务 器 端 程序 在 9999 端口 进行 监听 ,在 木马 程序 传播 出 去 以 后 黑客 可 以 在 网 络 上 使 用 端口 
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扫描 工具 ,查找 开放 9999 端口 的 主机 。 因 为 
主机 正常 情况 下 一 般 不 会 使 用 9999 端口 进行 
监听 ,开放 该 端口 的 主机 很 可 能 感染 了 木马 程 
序 ,黑客 可 以 尝试 利用 木马 客户 端 程序 对 主机 
进行 连接 和 控制 。 这 种 利用 网 络 扫 描 的 方法 ， 
其 优点 是 不 依赖 于 信息 反馈 ,对 于 采用 动态 IP 
地 址 的 感染 主机 也 能 够 有 效 控制 。 其 缺点 也 
很 明显 ,网络 扫 描 具 有 明显 的 攻击 特征 ,很 容 
易 被 人 侵 检 测 系统 等 安全 防护 设备 发 现 并 受 
到 限制 。 冰 河 客 户 端 程序 中 提供 了 扫描 感染 
主机 的 工具 , 单 击 工 具 栏 中 的 自动 搜索 ,弹出 
【搜索 计算 机 了 的 界面 (如 图 10. 5 所 示 ) ,设置 








乍 搜 索 计 算 机 


R10. B31. 243 i 
: 10.65.19.1 


: 10.65. 19. 125 
: 10.65. 19.158 
: 10.65. 19.250 
: 10.65. 19, 254 
: 10.65.19.8 





| 对 子 网 10. 65. 19 搜索 充 毕 ， 共 找到 7 台 计 算 机 , 其 中 1 台 可 用 


图 10.5 搜索 感染 计算 机 的 界面 


好 搜索 范围 后 单 击 【 开 始 搜 索 】 ,可 以 搜索 到 哪些 主机 感染 了 冰河 木马 。 

搜索 到 感染 主机 后 , 单 击 工具 栏 中 的 [添加 主机 ] 按 钮 ,输入 计算 机 IP 地址、 监听 端口 和 
访问 口令 , 单 击 确定 后 ,冰河 客户 端 就 开始 尝试 与 该 主机 中 的 服务 器 程序 建立 连接 ,如 果 成 
功 建 立 连 接 , 界 面 右边 会 显示 该 主机 内 的 磁盘 盘 符 ( 如 图 10.6 所 示 )。 


\ 订 河 Y2. 2 [DARKSUN 专 版 ] 
文件 [E] 。 编辑 [E] 。 设置 [6] 。 帮助 [H] 


| 可 时 昂 里 曙 和 加 加 基色 e 


| 当前 连接 : 10. 65. 19. 245 =z] 端口 : Fez6 访问 口令 : e+ 应 用 [8] 





向 文件 管理 器 | 驰 命令 控制 台 | 





国 站 我 的 电脑 文件 名 称 | 文件 大 小 什 ) | 最 后 更 和 时 间 |] 
日 Sc: 











图 10.6 添加 感染 主机 并 建立 连接 


6. 远程 控制 


木马 的 客户 端 程序 与 木马 的 服务 器 程序 一 旦 建立 连接 ,黑客 实际 上 就 获得 了 感染 主机 
的 控制 权 。 冰 河 木马 可 以 实现 以 下 一 些 远程 控制 操作 : 


(1) 自动 跟踪 目标 主机 屏幕 变化 ,同时 可 以 完全 模拟 键盘 及 鼠标 输入 , 即 在 同步 感染 主 





机 屏幕 变化 的 同时 ,监控 端的 一 切 键盘 及 鼠标 操作 将 反映 在 感染 主机 的 屏幕 上 (局 域 网 适 
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用 ); 单 击 冰河 客户 端 工具 栏 中 的 【控制 屏幕 3 按钮 ,设置 好 图 像 参数 后 ,在 弹出 的 窗口 中 可 
以 查看 和 控制 目标 主机 的 屏幕 。 

(2) 记录 各 种 口令 信息 : 包括 开机 口令 .屏保 口令 .各 种 共享 资源 口令 及 绝 大 多 数 在 对 
话 框 中 出 现 过 的 口令 信息 。 获 取 系 统 信息 : 包括 计算 机 名 注册 公司 .当前 用 户 、 系 统 路 径 、 
操作 系统 版 本 、 当 前 显示 分 辩 率 、 物 理 及 逻辑 磁盘 信息 等 多 项 系统 数据 。 启 动 键盘 记录 等 。 

(3) 限制 系统 功能 : 包括 远程 关机 、 远 程 重启 计算 机 、 锁 定 鼠 标 、 锁 定 系统 热 键 及 锁定 
注册 表 等 多 项 功能 限制 。 

(4) 远程 文件 操作 : 包括 创建 上传. 下载 .复制 .删除 文件 或 目录 ,文件 压缩 ,快速 浏览 
文本 文件 ,远程 打开 文件 (提供 了 4 种 不 同 的 打开 方式 一 一 正常 方式 .最 大 化 .最 小 化 和 隐藏 
方式 ) 等 多 项 文件 操作 功能 。 

(5) 注册 表 操 作 : 包括 对 主键 的 浏览 增删、 复制 、 重 命名 和 对 键 值 的 读 写 等 所 有 注册 
表 操 作 功 能 。 

(6) 发 送信 息 : 以 4 种 常用 图 标 向 感染 主机 发 送 简短 信息 。 

(7) 点 对 点 通信 : 以 聊天 室 形式 同感 染 主机 进行 在 线 交 谈 。 

在 冰河 客户 端 界面 中 选择 [命令 控制 台 选 项 卡 ,在 左 侧 的 命令 树 中 可 以 选择 相应 的 控 
制 命令 实现 远程 控制 操作 (如 图 10.7 所 示 ) 。 





\ 订 河 Y2. 2 [DARKSUN 专 版 ] 
文件 [E] ”编辑 [E] ”设置 [G] ”帮助 [] 


| 胞 克 瑟 里 对 年 西昌 歼 句 卫 
| 当前 连接 : [10 65 19 245 可 端 D: es 坊 DS: 各 用 [ 
各 文件 管理 器 色 命令 控制 台 | 














Pention 
Windows HT 

C: \¥INDOWS\ 

C: \¥INDOWS\ system32\ 

C: \DOCUME “1\ADNINIT “1\LOCALS“1\Temp\ 


ADMIN-S3E1DEFDA 


Administrator 
536M 


2098N 
1024 
768 


3211. 93579101583M 
1491. 53796386719M 





由 丫 注 册 表 污 写 


四 全 设 置 类 命令 开机 口令 雪 #D$S | 。 其 ED 人 











图 10.7 冰河 命令 控制 台 界面 


10.2.4 木马 的 检测 与 防范 技术 


木马 的 查 杀 ,最 简单 的 方法 是 利用 杀毒 软件 ,目前 大 多 数 杀 毒 软件 ,例如 卡巴 斯 基诺 
顿 , 小 红 锌 .Avast 等 都 能 有 效 删 除 大 多 数 木马 。 另 外 也 可 以 使 用 专门 的 木马 专 杀 工 具 来 杀 
除 ,例如 木马 克星 、Spy Sweeper、360 安全 卫士 等 软件 。 由 于 杀毒 软件 和 专 杀 工具 的 更 新 速 
度 通常 滞后 于 新 木马 的 出 现 ,因此 有 必要 掌握 木马 的 检测 和 手动 清除 方法 。 
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1. 检查 本 地 文件 

在 我 的 电脑 窗口 下 打开 【工具 区 文件 夹 选项 了 代 查 看 了 区 显示 所 有 文件 和 文件 夹 了 ,可 以 
看 到 隐藏 的 文件 ,再 选择 【显示 已 知 文件 类 型 扩展 名 】 ,查看 是 否 存 在 多 扩展 名 的 程序 ,如 果 
有 就 可 能 是 木马 文件 ,然后 检查 系统 文件 是 否 都 处 于 正常 的 系统 文件 夹 内 ,如 果 存 在 多 个 同 
样 的 系统 文件 ,那么 就 要 注意 查看 是 否 为 木马 文件 。 

2. 检查 端口 及 连接 

由 于 木马 一 般 需 要 通过 端口 进行 通信 (如 冰河 木马 使 用 7626 端口 进行 监听 ) ,因此 检查 
系统 开放 端口 及 连接 是 辅助 判断 木马 的 一 个 重要 依据 。 用 户 可 以 通过 系统 自 带 的 netstat 
命令 查看 系统 的 开放 端口 和 TCP/UDP 连接 ,辅助 使 用 Fport 等 工具 具体 查看 进程 与 端口 
的 映射 关系 ,来 判断 系统 是 否 有 木马 存在 。 

3. 检查 系统 进程 

用 户 可 以 利用 Windows 系统 自 带 的 任务 管理 器 检查 系统 的 活动 进程 ,观察 有 没有 陌生 
的 进程 ,重点 注意 一 些 CPU 占用 率 较 高 的 进程 。 另 外 借助 一 些 专门 工具 如 ProcessExplorer， 
可 以 检查 更 加 详尽 的 进程 列表 信息 ,以 此 来 判断 进程 的 合法 性 。 找 到 对 应 木马 文件 后 ,就 可 
以 把 木马 进程 结束 。 

4. 检查 注册 表 

重点 检查 注册 表 启 动 项 和 系统 服务 相关 键 值 。 运 行 regedit 命令 打开 注册 表 , 展 开 
HKEY_LOCAL MACHINE\Software\Microsoft\ Windows\CurrentVersion\ 和 HKEY_ 
CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 下 的 所 有 以 Run 开头 
的 项 ,检查 其 下 是 否 有 新 增 的 和 可 疑 的 键 值 。 找 到 木马 程序 的 文件 名 后 搜索 整个 注册 表 , 找 
出 所 有 对 应 的 项 ,然后 删除 或 修改 注册 表 里 的 相应 内 容 , 并 将 安装 路 径 所 指示 的 文件 删除 。 

5. 检查 系统 配置 文件 

(1) 检查 Win. ini。 在 C:\ WINDOWS 目录 下 有 一 个 配置 文件 Win. ini, 在 它 的 
windows 字段 中 有 启动 命令 “load 二 ”和 “run 二 ”, 在 一 般 情况 下 ,“= 二 ”后 面 是 空白 的 ,如 果 有 
启动 程序 ,很 可 能 就 是 木马 。 

(2) 检查 System. ini。 在 System. ini 中 ,其 Lboot] 字 段 的 “shell= explorer. exe” 是 加 载 
木马 的 常见 位 置 。 如 果 该 字段 变 为 :“shell 二 explorer. exe 某 一 程序 名 ”, 那 么 后 面 跟着 的 
那个 程序 就 是 木马 。 另 外 ,System. ini 的 [386Enh] 字 段 内 的 “driver 一 路径 \ 程 序 名 ”也 是 木 
马 常 更 改 的 项 。 

防范 木马 攻击 最 基本 的 方法 就 是 安装 杀毒 软件 和 防火 墙 , 防 火 墙 可 以 主动 拦截 各 种 应 
用 程序 的 网 络 连接 ,杀毒 软件 可 以 查 杀 绝 大 部 分 的 森马。 用户 可 以 辅助 使 用 专业 的 木马 防 
护 工具 如 360 安全 卫士 等 实现 对 系统 和 网 络 的 监控 。 对 于 一 般 用 户 来 说 ,可 以 采取 的 主要 
措施 是 完善 系统 安全 和 提高 用 户 安全 意识 ,具体 包括 : 

(1) 安装 杀毒 软件 和 个 人 防火 墙 ,并 及 时 升级 。 

(2) 为 个 人 防火 墙 设置 好 安全 等 级 ,防止 未 知 程序 向 外 传送 数据 。 

(3) 使 用 安全 性 比较 好 的 浏览 器 和 电子 邮件 客户 端 工 具 。 

(4) 如 果 使 用 下 浏览 器 ,应 该 安装 卡 卡 安全 助手 或 360 安全 浏览 器 ,防止 恶意 网 站 在 





290 信息 系统 安全 





自己 电脑 上 安装 不 明 软 件 和 浏览 器 插件 ,以 免 被 木马 趁机 侵入 。 

(5) 不 要 随意 下 载 和 运行 来 历 不 明 的 软件 ,安装 软件 之 前 先 用 杀毒 软件 查 杀 。 

(6) 不 随意 散播 个 人 电子 邮箱 地 址 ,不 要 任意 执行 电子 邮件 中 的 附件 。 

(7) 不 登录 陌生 网 站 ,禁用 浏览 器 的 “ActiveX 控件 和 插件 ”以 及 “Java 脚本 ”功能 ,禁用 
文件 系统 对 象 FileSystemObject, 防 止 恶意 站 点 网 页 木马 全 自动 入 侵 。 


10.3 里 虫 


蠕虫 这 个 生物 学 名 词 在 1982 年 由 施乐 帕克 研究 中 心 (Xerox PARC) 的 John F. Shoch 
等 人 最 早 引 入 计算 机 领域 。 在 计算 机 领域 ,蠕虫 是 一 种 可 以 自我 复制 的 代码 ,并 且 通 过 网 络 
传播 。 蠕 里 袭击 一 台 计 算 机 ,并 在 完全 控制 后 ,将 这 人 台 计 算 机 作为 宿主 ,进而 扫 撒 并 感染 其 
他 脆弱 的 系统 , 当 这 些 新 目标 被 蠕虫 控制 后 ,这 种 贪 禁 的 行为 会 继续 ,蠕虫 采用 递归 的 方式 
进行 传播 ,按照 指数 增长 的 方式 复制 自己 ,进而 感染 更 多 系统 。 几 乎 每 次 蠕虫 爆发 都 会 造成 
巨大 的 损失 ,发生 过 的 几 件 重大 事件 如 下 。 

(1) 1988 年 11 月 ,Morris 蠕虫 爆发 ,仅仅 在 几 天 内 就 感染 了 6000 台 以 上 的 Internet 服 
务 器 ,并 且 使 得 这 些 服务 器 几 近 瘫 痰 ,严重 破坏 了 当时 的 互联 网 ; 

(2) 2001 年 7 月 19 日 ,CodeRed 蠕虫 爆发 ,在 爆发 后 仅仅 9h 内 就 感染 了 25 万 台 计算 
机 ,直接 经 济 损失 高 达 20 亿美 元 ,并 且 在 随后 几 个 月 内 该 蠕虫 产生 了 威力 更 强 的 几 个 变种 ， 
其 中 CodeRed [造成 的 损失 估计 超过 12 亿美 元 ; 

(3) 2001 年 9 月 18 日 ,Nimda 蠕虫 爆发 ,也 是 在 仅仅 几 个 小 时 内 ,Nimda 造成 的 损失 
评估 高 达 26 亿美 元 。 在 CERT 的 声明 中 ,2001 年 被 称 为 Year of the Worm:; 

(4) 2003 年 1 月 25 日 ,在 亚洲 ,美洲 、 欧 洲 爆 发 的 slamme 蠕虫 在 10min 内 感染 了 92% 
的 网 络 服 务 器 。 

近年 来 ,蠕虫 的 活动 不 仅 局 限于 传统 的 简单 感染 存在 漏洞 的 结 点 ,而且 它 们 会 把 这 些 结 
点 组 织 起 来 形成 破坏 力 更 强 的 僵尸 网 络 。 


10.3.1 定义 


蠕虫 类 恶意 代码 是 具有 自我 复制 (Self-Replication) 和 主动 传播 (Active-Propagation) 能 
力 并 在 网 络 上 尤其 是 在 Internet 上 进行 扩散 的 恶意 代码 。 网 络 蠕虫 (简称 蠕虫 ) 以 其 多 样 化 
的 传播 途径 ,使 它 具 有 传播 速度 快 ,发 生 频率 高 .覆盖面 广 以 及 造成 的 危害 大 等 特点 。 

计算 机 蠕虫 和 计算 机 病毒 都 具有 传染 性 和 复制 功能 ,这 两 个 主要 特性 是 一 致 的 ,但 
是 从 传染 机 制 和 工作 方式 上 看 ,二 者 有 很 大 区 别 ,蠕虫 是 通过 网 络 传播 ,而 病毒 不 一 定 要 
通过 网 络 传播 。 病 毒 主要 感染 的 是 文件 系统 ,在 其 传染 的 过 程 中 ,计算 机 使 用 者 是 传染 
的 触发 者 ,需要 用 户 运行 一 个 程序 或 打开 文档 以 调用 恶意 代码 ,而 蠕虫 主要 利用 计算 机 
系统 漏洞 (Vulnerability) 进 行 传染 ,不 需要 宿主 文件 ,搜索 到 网 络 中 存在 漏洞 的 计算 机 后 
主动 进行 攻击 ,在 传染 的 过 程 中 ,无 须 通过 人 为 干预 。 表 10. 2 列举 了 病毒 和 蠕虫 的 
区 别 。 
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表 10.2 病毒 和 蠕虫 的 区 别 





病 毒 蠕虫 
存在 形式 寄生 独立 存在 
复制 机 制 插入 到 宿主 程序 (文件 ) 中 自身 的 拷贝 
传染 机 制 宿主 程序 运行 系统 存在 漏洞 
攻击 目标 针对 本 地 文件 针对 网 络 上 的 计算 机 
触发 传染 计算 机 使 用 者 程序 自身 
影响 重点 文件 系统 网 络 性 能 .系统 性 能 
防治 措施 从 宿主 文件 中 摘除 为 系统 打 补 丁 


【 例 10-3】 “红色 代 码 ”(RedCode) 蠕 虫 。 

2001 年 出 现 的 “红色 代码 ”(RedCode) 蠕 虫 利 用 微软 公司 的 IIS(Internet Information 
Server) 系 统 漏 洞 进 行 感染 , 它 使 HIS 服务 器 处 理 请 求 数据 包 时 溢出 ,导致 把 此 数据 包 当 作 代 
码 运行 ,蠕虫 驻 留 后 再 次 通过 此 漏洞 感染 其 他 IIS 服务 器 ,造成 网 络 带宽 性 能 急剧 下 降 。 


10.3.2 蠕虫 的 结构 和 工作 机 制 


蠕虫 功能 模块 划分 为 主体 功能 模块 和 辅助 功能 模块 。 主 体 功 能 模块 用 来 实现 蠕虫 月 我 
传播 ,包括 信息 搜集 模块 .探测 模块 攻击 模块 和 自我 推进 模块 。 其 中 ,信息 采集 模块 的 作用 
是 对 目的 主机 或 网 络 进 行 攻击 前 的 信息 收集 。 探 测 模块 完成 对 特定 主机 的 脆弱 性 检查 , 检 
查 结果 用 于 攻击 模块 决策 对 目标 的 攻击 方式 ,如 CodeRed 蠕虫 和 Slammer 蠕虫 会 对 随机 生 
成 的 IP 地 址 进行 漏洞 检测 。 攻 击 模块 利用 获得 的 安全 漏洞 ,建立 传播 途径 。 自 我 推进 模块 
在 不 同 的 感染 目标 中 进行 蠕虫 的 自我 复制 。 

辅助 功能 模块 可 以 增强 蠕虫 的 破坏 力 , 是 对 除 主体 功能 模块 之 外 的 其 他 模块 的 归纳 , 包 
括 实 体 隐 藏 模块 、 宿 主 破坏 模块 .通信 模块 .远程 控制 模块 和 自我 更 新 模块 。 实 体 隐藏 模块 
主要 实现 对 蠕虫 各 部 分 实体 的 隐藏 ,以 提高 蠕虫 的 生存 能 力 。 宿 主 破 坏 模 块 用 来 破坏 被 感 
染 系 统 或 网 络 的 正常 运行 。 通 信 模 块 用 来 实现 蠕虫 间 .蠕虫 和 黑客 间 的 交流 ,这 是 未 来 蠕虫 
的 发 展 趋势 ,也 是 目前 流行 的 僵尸 网 络 的 形成 机 制 。 远 程控 制 模块 的 功能 是 调整 蠕虫 行为 ， 
控制 被 感染 主机 ,实现 蠕虫 编写 者 的 命令 。 自 我 更 新 模块 使 蠕虫 每 隔 一 定 的 时 间 自 动 下 载 
更 新 代码 和 传播 策略 。 

蠕虫 利用 操作 系统 和 应 用 软件 的 漏洞 进行 自我 复制 和 传播 。 例 如 ,红色 代码 ”蠕虫 利 
用 了 微软 IIS 服务 器 软件 的 漏洞 (idq. dll 缓冲 区 溢出 ) 进 行 传播 ; SQL 蠕虫 王 病毒 利用 了 微 
软 的 数据 库 系统 的 一 个 漏洞 进行 大 肆 攻 击 ; Conficker 蠕虫 则 借助 闪存 、 利 用 微软 的 MS08- 
067 漏洞 进行 传播 。 

尽管 这 些 蠕 虫 实现 的 具体 细节 不 同 , 但 是 从 蠕 
虫 释 放 到 最 终 在 网 络 中 传播 的 过 程 基本 相同 。 它 











们 的 攻击 行为 大 体 分 为 个 阶段 , 目标 信息 收集 . 扫 
措 探测 .攻击 渗透 和 自我 推进 。 蠕 虫 传播 的 工作 机 
制 如 图 10. 8 所 示 。 信 息 搜集 主要 完成 对 本 地 和 目标 


结 点 主机 的 信息 汇集 ; 扫描 探测 主要 完成 对 具体 目 
标 主机 服务 漏洞 的 检测 ,攻击 渗透 利用 已 发 现 的 服 
务 漏洞 实施 攻击 ; 自我 推进 完成 对 目标 结 点 的 感染 。 10.8 网 络 蠕虫 的 工作 机 制 
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10.3.3 蠕虫 的 防范 


1. 安装 反 病毒 软件 

反 病 毒 软件 能 够 阻止 各 种 形式 的 恶意 代码 ,也 包括 蠕虫 ,用 户 需要 及 时 更 新 病毒 库 提 高 
预防 能 力 。 

2. 及 时 配置 补丁 程序 

由 于 越 来 越 多 的 网 络 蠕虫 依靠 操作 系统 自身 的 漏洞 进行 传播 ,因此 及 时 对 操作 系统 的 
漏洞 进行 打 补丁 操作 已 经 成 为 当前 网 络 蠕虫 病毒 防治 的 一 个 重要 环节 。 在 有 条 件 的 局 域 网 
环境 中 可 以 安排 专门 的 更 新 服务 器 对 局 域 网 内 部 所 有 的 主机 进行 集中 升级 操作 。 

3. 阻 断 任意 的 输出 连接 

一 旦 蠕虫 侵占 了 系统 ,常常 通过 建立 输出 连接 扫描 其 他 潜在 的 受害 者 ,进而 试图 传 
播 。 应 该 严格 限制 所 有 来 自 公 共 访 问 系 统 的 输出 连接 ,例如 Web、DNS、E-mail、FTP 等 。 
许多 单位 严格 过 滤 连 入 的 数据 ,但 是 却 忘 记 了 输出 连接 ,从 而 使 感染 蠕虫 者 成 为 蠕虫 散 
布 者 。 

4. 建立 事故 响应 机 制 

对 于 一 些 重要 系统 来 说 ,建立 计算 机 事故 响应 小 组 也 是 很 有 必要 的 ,具有 明确 的 处 理 流 
程 以 对 抗 计算 机 攻击 者 .蠕虫 和 其 他 恶性 事件 。 





10.4 小 结 


常见 的 恶意 代码 包括 计算 机 病毒 .特洛伊 木马 和 蠕虫 等 ,它们 以 各 种 方式 侵入 计算 
机 信息 系统 ,它们 的 攻击 威力 越 来 越 大 、 攻 击 范围 也 越 来 越 广 。 本章 介绍 了 以 上 3 种 恶 
意 代 码 的 工作 原理 和 检测 、 防 范 技术 。 需 要 注意 的 是 ,恶意 代码 的 发 展 变化 很 快 , 一 些 新 
的 恶意 代码 类 型 不 断 涌现 ,需要 不 断 研 究 新 的 分 析 检 测 技术 以 抵御 和 防范 恶意 代码 
攻击 。 

















习 题 
一 、 填 空 题 
1. 计算 机 病毒 具有 的 特征 包括 和 
2. 病毒 一 般 由 二 和 主 控 模 块 构成 。 
二 计算 机 病毒 按 其 寄生 方式 可 分 为 两 奖 ， 和 
4. 木马 的 功能 有 等 。 
5. 某 个 系统 “中 了 木马 ”， 就 是 指 安装 了 木马 的 。 
6. 蠕虫 主要 利用 计算 机 系统 进行 传染 。 
7. 蠕虫 的 攻击 行为 大 体 分 为 4 个 阶段 ,分 别 是 
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二 、 选 择 题 
1. 以 下 ( ) 不 是 计算 机 病毒 的 基本 特征 。 
A. 潜伏 性 B. 可 触发 性 C. 免疫 性 D. 传染 性 
2. 计算 机 病毒 的 构成 模块 不 包括 ( Ys 
A. 感染 模块 B. 触发 模块 C. 破坏 模块 D. 加 密 模 块 
3. 计算 机 病毒 常用 的 触发 条 件 不 包括 ( Ds 
A. 日 期 B. 访问 磁盘 次 数 。” C. 屏幕 保护 D. 启动 
4. 关于 计算 机 病毒 的 传播 途径 ,下 列 说 法 错误 的 是 ( 加 
A. 通过 邮件 传播 B. 通过 光盘 传播 
C. 通过 网 络 传播 D. 通过 电源 传播 
5. 如 果 发 现 某 文件 已 染 上 病毒 ,恰当 的 处 理 方 法 是 ( 》5 
A. 停止 使 用 ,使 其 慢 慢 消失 B. 将 该 文件 复制 到 U 盘 上 使 用 
C. 用 消毒 液 消 毒 D. 用 反 病 毒 软件 清除 病毒 
6. 以 下 不 属于 木马 检测 方法 的 是 ( Ws 
A. 检查 端口 及 连接 B. 检查 系统 进程 
C. 检查 注册 表 D. 检查 文件 大 小 
三 、 简 答题 
1. 请 简 述 计算 机 病毒 的 工作 过 程 。 
2. 如 何 检测 计算 机 病毒 ? 
3. 日 常 如 何 预防 计算 感染 病毒 ? 
4. 木马 采用 反 向 连接 的 原因 是 什么 ? 
5. 简 述 木马 的 攻击 过 程 。 
6. 计算 机 病毒 和 蠕虫 的 区 别 是 什么 ? 
7. 简 述 网 络 蠕虫 的 工作 机 制 。 
8. 拓展 阅读 : 查询 相关 资料 ,了 解 冰河 木马 的 原理 。 
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应 用 系统 缺陷 是 影响 计算 机 安全 的 重要 因素 , 随 着 应 用 系统 数量 和 功能 复杂 性 的 不 断 
增加 ,其 潜在 的 安全 隐患 也 不 断 增多 ,应 用 系统 中 安全 漏洞 的 报告 逐年 增长 。 事 实 上 目前 恶 
意 代码 的 攻击 大 多 是 利用 了 应 用 软件 ,尤其 是 网 络 应 用 软件 的 安全 漏洞 。 

应 用 系统 开发 的 复杂 性 是 由 程序 复杂 性 、 需 求 复杂 性 以 及 设计 复杂 性 等 各 因素 构成 的 ， 
因此 在 应 用 系统 开发 周期 的 各 个 阶段 都 可 能 发 生 错误 或 缺陷 ,而 这 些 错 误 或 缺陷 就 直接 导 
致 了 应 用 系统 安全 漏洞 的 形成 。 应 用 系统 安全 漏洞 一 旦 被 发 现 ,攻击 者 就 可 利用 此 漏洞 获 
得 计算 机 系统 的 控制 权限 ,使 其 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 ,从 而 极 大 地 危害 到 
计算 机 系统 的 安全 。 也 就 是 说 应 用 系统 安全 漏洞 可 以 被 恶意 攻击 者 用 来 突破 系统 的 安全 策 
略 或 措施 ,从 而 访问 或 破坏 未 经 授权 的 系统 资源 和 数据 。 常 见 应 用 系统 安全 漏洞 有 缓冲 区 
溢出 漏洞 格式 化 字符 串 漏洞 整数 溢出 漏洞 等 。 

本 章 11. 1 节 介 绍 缓冲 区 溢出 漏洞 的 概念 及 利用 漏洞 攻击 原理 ,11.2 节 、11. 3 节 分 别 简 
要 介绍 格式 化 字符 串 漏洞 和 整数 溢出 漏洞 及 其 危害 ,11. 4 节 介 绍 发 掘 应 用 系统 安全 漏洞 的 
几 种 方法 , 随 着 当前 越 来 越 多 的 应 用 面向 Web 平台 开发 部署. 使 用 ,11.5 节 讨论 Web 应 
用 安全 威胁 与 防御 措施 。 


11.1 缓冲 区 溢出 


自从 缓冲 区 溢出 漏洞 被 发 现 以 来 ,缓冲 区 溢出 攻击 一 直 是 网 络 攻击 事件 中 用 得 最 多 的 
一 种 攻击 方式 。 世 界 上 第 一 个 缓冲 区 溢出 攻击 一 一 Morris 蠕虫 , 曾 造成 全 球 6000 多 台 
络 服务 器 闪 疯 ; 2003 年 8 月 席卷 全 球 的 “冲击 波 ”" 和 2004 年 5 月 出 现 的 “震荡 波 ” 分 别 利用 
了 Windows 系统 RPC DCOM 和 LSASS 服务 的 缓冲 区 溢出 漏洞 进行 攻击 。 目 前 ,利用 组 
冲 区 溢出 漏洞 进行 的 攻击 已 经 占 到 了 整个 网 络 攻击 的 一 半 以 上 。 


11.1.1 缓冲 区 溢出 的 概念 


缓冲 区 是 程序 运行 时 在 内 存 中 临时 存放 数据 的 地 方 。 缓 冲 区 就 如 一 个 水 杯 ,如 果 向 其 
中 加 入 太 多 的 水 后 ,水 就 会 溢出 到 杯 外 。 缓 冲 区 溢出 是 因为 人 们 向 程序 中 提交 的 数据 超出 
了 数据 接收 区 所 能 容纳 的 最 大 长 度 , 从 而 使 提交 的 数据 超过 相应 的 边界 而 进入 了 其 他 区 域 。 
如 果 是 人 为 蓄意 向 缓冲 区 提交 超 长 数据 从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 或 
对 系统 正常 运行 造成 了 不 良 影响 ,那么 我 们 就 说 发 生 了 缓冲 区 溢出 攻击 (Buffer Overflow)。 
缓冲 区 溢出 主要 包括 基于 堆栈 的 缓冲 区 溢出 、 基 于 堆 的 缓冲 区 溢出 以 及 基于 数据 段 的 缓冲 
区 溢出 。 一 般 来 说 , 堆 和 数据 段 的 缓冲 区 溢出 很 难 被 攻击 者 利用 ,而 堆栈 上 的 缓冲 区 溢出 漏 
洞 容易 被 利用 ,具有 极 大 的 危险 性 。 

C 语言 的 标准 库 是 多 数 缓冲 区 溢出 问题 的 根源 所 在 ,尤其 是 一 些 对 字符 串 进行 操作 的 


第 11 章 应 用 系统 安全 295 





库 函 数 , 例 如 要 从 标准 输入 中 读 取 一 行 输入 数据 时 可 运用 的 gets() 函 数 , 它 会 一 直 读 入 数据 
直到 遇 到 换行 字符 或 EOF 字符 ,并 且 不 会 检查 缓冲 区 边界 。 例 如 以 下 这 段 代码 : 

char buffer[512]; 

gets(buffer) 

这 段 代 码 中 定义 了 一 个 长 度 为 512 的 字符 数组 ,接着 输入 数据 被 gets() 函数 读 取 并 放 
入 buffer 数组 中 ,所 读 取 的 数据 一 般 情况 下 可 能 都 小 于 512 个 字符 ,但 如 果 一 些 用 户 例如 攻 
击 者 在 此 输入 大 于 512B 的 数据 ,此 时 输入 数据 将 超出 buffer 空间 而 覆盖 其 他 内 存 数据 ,从 
而 发 生 缓冲 区 溢出 。 具 有 类 似 问题 的 标准 库 函 数 还 有 strcat()、sscan()、strcpy()、scan()、 


fscanf() sprintf() .vscanf() ,vsscanf() .vfscanf() 等 。 
11.1.2 缓冲 区 溢出 攻击 原理 及 防范 措施 


为 了 了 解 缓冲 区 溢出 的 机 理 , 先 介绍 处 理 器 处 理 机 器 代码 的 情况 。 处 理 器 中 有 一 些 特 
殊 的 寄存 器 用 来 存储 程序 执行 时 的 信息 ,主要 有 以 下 3 个 。 

(1) EIP: 扩展 指令 寄存 器 ,用 于 存放 下 一 条 要 执行 的 指令 的 地 址 。 

(2) EBP: 扩展 基 址 寄存 器 ,存储 的 是 栈 底 指针 ,通常 称 为 栈 基 址 。 

(3) ESP: 扩展 堆栈 寄存 器 ,用 来 存放 栈 顶 指针 。 

计算 机 内 的 程序 是 按 如 图 11. 1 所 示 的 形式 存储 的 。 


内 存 低 端 
代码 段 “| 存放 程序 机 器 码 和 只 读数 据 
数据 段 ”| 存放 程序 中 的 静态 数据 
堆栈 段 ”| 存放 程序 中 的 动态 数据 





内 存 高 端 





图 11.1 程序 在 内 存 中 的 存储 


(1) 代码 段 : 存放 程序 汇编 后 的 机 器 代码 和 只 读数 据 , 这 个 段 在 内 存 中 一 般 被 标记 为 
只 读 ,任何 企图 修改 这 个 段 中 数据 的 操作 将 引发 一 个 Segmentation Violation 错误 。 

(2) 数据 段 : 数据 段 中 存放 的 是 静态 变量 。 

(3) 堆栈 段 : 在 函数 调用 时 存储 函数 的 和 人口 参数 ( 即 形 参 )、. 返回 地 址 和 局 部 变量 等 
信息 。 

当 一 个 函数 被 调用 的 时 候 , 系 统 总 是 先 将 被 调用 函数 所 需 的 参数 以 逆序 方式 人 栈 , 然 后 
将 指令 寄存 器 EIP 中 的 内 容 ( 即 返回 地 址 ) 入 栈 , 再 把 基 址 寄存 器 EBP 压 入 堆栈 ,最 后 为 被 
调用 函数 内 的 局 部 变量 分 配 所 需 的 存储 空间 ,从 而 形成 如 图 11. 2 所 示 的 堆栈 结构 。 








…[locall][local2] … [localn][EBP][RET 返 回 地 址 ][ 参 数 1][ 参 数 2]… [参数 n] | 

栈 顶 栈 底 

内 存 低 端 内 存 高 端 
图 11.2 栈 帧 的 一 般 结构 
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缓冲 区 溢出 攻击 通常 会 带 来 以 下 后 果 : 过 长 的 字符 串 覆 盖 了 相 邻 的 存储 单元 而 造成 程 
序 异常 ,严重 的 会 造成 死机 、 系 统 或 进程 重启 等 ; 可 让 攻击 者 执行 恶意 代码 或 特定 指令 ,其 
至 获得 超级 权限 等 ,从 而 引发 其 他 的 攻击 。 

1. 破坏 程序 正常 运行 

我 们 来 看 一 段 简单 程序 的 执行 对 堆栈 的 操作 以 及 溢出 产生 的 过 程 。 


# include< stdio.h> 
int main() 
人 
char name[16]; 
gets(name); 
for(int i=0;i<16 && name[i] ;i++) 
printf(name[i]); 


} 
编译 上 述 代码 ,输入 "hello world!”, 结 果 会 输出 hello world! ,其 中 对 堆栈 的 操作 是 先 在 栈 


底 压 人 返回 地 址 ,接着 将 栈 指 针 EBP 入 栈 , 将 当前 ESP 的 值 写 人 EBP, 此 时 EBP 等 于 现在 的 
ESP, 之 后 ESP 减 16, 即 向 上 增长 16B, 用 来 存放 name[] 数 组 ,现在 堆栈 的 布局 如 图 11. 3 所 示 。 











NAME EBP ret 
栈 顶 栈 底 
为 存 低 端 内 存 高 端 





图 11.3 程序 运行 之 初 堆栈 的 状态 
执行 完 gets(name) 之 后 ,堆栈 中 的 内 容 如 图 11. 4 所 示 。 














NAME EBP et 
hello worldt | | 
和 机 
内 存 低 端 内 存 高 端 


图 11.4 运行 完 gets(name) 后 堆栈 的 状态 


最 后 ,从 main 返回 ,弹出 ret 里 的 返回 地 址 并 赋值 给 EIP ,CPU 继续 执行 EIP 所 指向 的 
命令 。 

如 果 我 们 输入 的 字符 串 长 度 超过 16B, 例 如 输入 “hello world! AAAAAAAAAAA”， 
则 当 执 行 完 gets(name) 之 后 ,堆栈 的 情况 如 图 11. 5 所 示 。 

















NAME EBP ret 
hello world!AAAA AAAA | AAAA 

入 入 
内 存 低 端 内 存 高 端 


图 11.5 缓冲 区 溢出 状态 





由 于 输入 的 字符 串 太 长 ,name 数组 容纳 不 下 ,只 好 向 堆栈 的 底部 方向 继续 写 *A”。 这 
些 “A? 覆 盖 了 堆栈 中 原 有 的 元 素 ,从 图 11. 5 可 以 看 出 ,EBP ,ret 都 已 经 被 *A” 覆 盖 了 。 从 
main 返回 时 ,就 必然 会 把 “AAAA? 的 ASCII 码 0x41414141 视 作 返回 地 址 ,CPU 会 试图 执 
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行 0x41414141 处 的 指令 ,结果 出 现 难以 预料 的 后 果 ,这样 就 产生 了 一 次 堆栈 溢出 。 假 如 使 
用 的 操作 系统 为 Win9X 的 话 , 会 得 到 那个 经 典 的 “该 程序 执行 了 非法 操作 ”的 对 话 框 。 

产生 上 述 溢出 的 原因 是 由 于 堆栈 是 由 内 存 的 高 地 址 向 低地 址 方向 增长 ,而 数组 变量 是 
从 内 存 低地 址 向 高 地 址 方向 增长 ,这 时 如 果 没 有 对 数组 的 访问 进行 越界 检查 和 限制 ,通过 向 
程序 的 数组 缓冲 区 写 人 超过 其 长 度 的 内 容 , 就 造成 缓冲 区 溢出 。 

2. 覆盖 堆栈 中 变量 的 内 容 

我 们 通过 一 个 实例 了 解 缓冲 区 溢出 覆盖 堆栈 中 变量 引起 的 严重 后 果 。 


# include < stdio.h> 
# define PASSWD "1234567890" 
int verify passwd(char * passwd) 
| 
int authenticated; 
char buffer[8]; 
authenticated = strcmp(passwd, PASSWD) ; 
strcpy(buffer, passwd) 
return authenticated; 
} 
main() 
{ 
int valid flag= 0; 
char passwd[ 1024]; 
while(1){ 
printf("please input passwd:"); 
Scanf(" % s",passwd); 
valid flag= verify_passwd(passwd) ; 
if(valid flag) 
printf("incorrect passwd! \n\n"); 
else 
{ 
printf("Correct password! \n"); 
break; 
‘ 
} 


程序 运行 后 要 求 用 户 输入 密码 ,用户 输入 的 密码 与 宏 定 义 中 的 密码 “1234567890” 比 较 ， 
如 果 密 码 错误 ,提示 验证 错误 ,并 提示 用 户 重 新 输入 ; 如 果 密 码 正确 ,提示 正确 ,程序 退出 。 

按照 程序 设计 思路 ,只 有 输入 了 正确 的 密码 “1234567890” 之 后 才能 通过 验证 。 但 是 由 
于 程序 存在 缓冲 区 溢出 漏洞 ,在 某 些 情况 下 ,即使 输入 错误 的 密码 ,也 会 认证 通过 。 这 上段 程 
序 中 的 漏洞 在 于 verify_passwd( 函数 中 的 strepy(buffer,passwd) 调 用 ,strcpy 将 用 户 输 入 
的 数据 原封 不 动 地 复制 到 verify_passwd 函数 的 局 部 数组 char bufferL8] 中 ,但 用 户 输入 的 
字符 串 可 能 大 于 8 个 字符 , 当 用 户 输入 大 于 缓冲 区 尺寸 时 ,缓冲 区 就 会 溢出 。 

函数 verify_passwd() 里 申请 了 两 个 局 部 变量 : int authenticated 和 char buffer[8], 当 
verify_passwd 被 调用 时 ,系统 会 给 它 分 配 一 片 连续 的 内 存 空间 ,这 两 个 变量 就 分 布 在 那里 ， 
用 户 输入 的 字符 串 将 复制 进 bufferL8],authenticated 变量 实际 上 是 一 个 标志 变量 , 当 其 值 
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为 非 0 时 ,程序 进入 错误 重 输 的 流程 ; 值 为 0 时 ,进入 密码 正确 的 流程 。 

字符 串 数据 最 后 都 有 作为 结束 标志 的 NULL(0) , 当 我 们 输入 的 字符 超过 7 个 ,那么 超 
出 的 部 分 将 破坏 与 它 紧 邻 着 的 authenticated 变量 的 内 容 。 例 如 当 我 们 输入 包含 8 个 字符 
的 错误 密码 qdqqqqqqq ,那么 buffer[8] 所 拥有 的 8B 将 全 部 被 q 的 ASCII 码 0x71 填 满 ,而 字 
符 串 的 结束 标识 NULL 刚好 写 入 authenticated 变量 ,而 且 值 为 0x0000000。 

函数 返回 ,main 函数 看 到 authenticated 是 0, 就 会 认为 密码 正确 ,这 样 我 们 就 用 错误 的 
密码 得 到 了 正确 密码 的 运行 效果 。 

3. 执行 攻击 代码 

发 生 缓冲 区 溢出 时 ,并 不 一 定 产生 攻击 ,一 次 普通 的 缓冲 区 溢出 使 程序 试图 执行 一 处 非 
法 地 址 或 称 为 错误 ( 即 不 存在 ) 的 指令 ,这 将 作为 非法 操作 而 被 系统 中 止 。 但 是 一 次 精心 编 
写 的 缓冲 区 溢出 程序 就 不 同 了 , 它 在 溢出 的 缓冲 区 中 写 和 人 攻击 者 设计 的 可 执行 代码 ( 称 为 
shellcode) ,再 覆盖 返回 地 址 的 内 容 , 使 它 指 向 缓冲 区 可 执行 代码 的 开始 ,这 样 就 可 以 运行 攻 
击 者 的 代码 。 如 果 shellcode 执行 一 个 shell 时 ,那么 这 个 shell 将 获得 堆栈 溢出 程序 相同 的 
权限 , 即 通过 shell 权限 可 以 执行 高 级 的 命令 。 更 为 严重 的 是 ,如 果 这 个 溢出 程序 属于 管理 
员 用 户 的 话 , 攻 击 者 将 获得 一 个 具有 管理 员 权限 的 shell。 

缓冲 区 溢出 攻击 需要 由 以 下 3 部 分 组 成 。 

(1) 在 目标 程序 中 植 入 攻击 代码 (shellcode); 

(2) 实际 复制 进入 需要 溢出 的 缓冲 区 并 破坏 邻近 区 域 的 数据 结构 (通过 输入 超常 的 字 
符 串 作为 输入 参数 来 达到 溢出 , 且 溢 出 后 返回 地 址 指向 shellcode 的 开始 地 址 )， 

(3) 控制 劫持 (获得 shell) 从 而 执行 攻击 代码 (Shellcode) 。 

至 于 如 何 设计 溢出 字符 串 使 其 执行 shellcode 及 如 何 编写 shellcode 获得 shell, 请 参考 
相关 书籍 ,本文 不 作 深 入 讨论 。 

4. 防范 及 检测 方法 

面 对 缓冲 区 溢出 攻击 的 挑战 ,常见 的 防范 措施 主要 有 如 下 几 种 。 

1) 安全 编码 

安全 编码 首先 尽量 选用 自 带 边界 检查 的 语言 (如 Per、Python 和 Java 等 ) 来 进行 程序 开 
发 ; 其 次 在 使 用 像 C 这 类 开发 语言 时 要 做 到 尽量 调用 安全 的 库 函 数 , 对 不 安全 的 调用 进行 
必要 的 边界 检查 。 编 写 正确 代码 ,除了 人 为 注意 外 ,还 可 以 借助 现 有 的 一 些 工具 ,例如 ,使 用 
源 代码 扫描 工具 PurifyPlus 可 以 帮助 发 现 程序 中 可 能 导致 缓冲 区 溢出 的 部 分 。 

2) 数组 边界 检查 

只 要 数组 的 使 用 被 严格 限制 在 其 边界 之 内 ,就 不 会 出 现 缓冲 区 溢出 问题 。 为 了 实现 数 
组 边界 检查 ,就 需要 对 所 有 对 数组 的 读 写 操作 进行 检查 ,以 确保 对 数组 的 操作 在 正确 的 范围 
内 进行 。 

3) 返回 地 址 

返回 地 址 在 缓冲 区 溢出 攻击 中 扮演 了 极其 重要 的 角色 ,攻击 者 需要 借助 对 它 的 修改 来 
使 程序 转向 选 定 的 库 函 数 或 者 向 着 预先 植 人 的 恶意 代码 方向 去 执行 。 通 过 在 系统 的 其 他 地 
方 对 正确 的 返回 地 址 进行 备份 ,在 返回 前 对 两 者 进行 核对 ,可 以 成 功 地 阻 断 攻击 。 
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4) 了 解 系统 常见 进程 

要 求 用 户 对 系统 的 各 种 正常 进程 有 个 大 体 的 了 解 。 用 户 通过 了 解 系统 中 正在 运行 的 进 
程 ,可 以 及 时 发 现 可 疑 进程 ,终止 其 运行 ,从 而 降低 遭受 攻击 的 风险 。 

5) 及 时 打 补丁 或 升级 

经 常 关注 网 上 公布 的 补丁 和 软件 升级 信息 ,这 对 用 户 来 说 是 一 种 简单 有 效 的 防范 措施 。 


11.2 格式 化 字符 串 漏洞 


格式 化 字符 串 漏洞 产生 于 数据 输出 函数 (printf 等 ) 对 输出 格式 解析 的 缺陷 ,以 printf 
函数 为 例 : 


int printf(const char * format,argl,arg2, …); 


format 的 内 容 可 能 为 %s、%d、%p、%x、%n… 将 数据 格式 化 后 输出 ,这 种 函数 的 问题 
在 于 printf 函数 不 能 确定 数据 参数 argl、arg2… 究 竟 在 什么 地 方 结束 ,也 就 是 它 不 知道 参数 
的 个 数 。printf 只 会 根据 format 中 的 打印 格式 的 数目 ,依次 打印 堆栈 中 参数 format 后 面 地 
址 的 内 容 。 

【 例 11-1】 分 析 下 面 代码 的 执行 情况 。 

int a= 44,b= 77; 

printf("a= %d,b= % d\n",a,b); 

printf("a= %d,b= %d\n"); 

上 述 代 码 中 第 一 个 printf 函数 调用 是 正确 的 ,输出 为 “a 二 44,b 二 77”, 第 二 个 调用 缺少 
输出 数据 的 参数 列表 ,可 编译 观察 一 下 上 述 代码 执行 的 结果 ,上 述 代码 执行 并 不 会 引起 错 
误 , 在 作者 的 运行 环境 下 ,得 到 的 输出 结果 是 “a 二 4218928,b 二 44”, 下 面 对 结果 进行 分 析 。 

第 一 次 调用 printf 函数 时 ,函数 的 3 个 参数 按 逆 序 , 即 b.a、“a 二 %d,b 一 %d\n” 入 栈 ， 
如 图 11.6 所 示 。 第 二 次 调用 printf 函数 时 ,由 于 参数 中 缺少 输出 数据 列表 部 分 , 故 只 压 人 
了 格式 控制 符 参 数 , 此 时 堆栈 状态 如 图 11.7 所 示 。 虽 然 函数 调用 没有 给 出 输出 数据 列表 ， 
但 系统 仍 按 格式 控制 符 所 指明 的 方式 输出 栈 中 紧 随 其 后 的 两 个 DWORD 类 型 值 ,4218928 
是 指向 格式 控制 符 "a 二 %d,b 二 %d\n” 的 指针 ,44 是 残留 下 来 的 变量 a 的 值 。 




















格式 控制 符 
内 存 低 端 上 和 内 存 低 端 | | ---------- 
格式 控制 符 ”| 1*a=%d, b=%dwm”) 格式 控制 符 | 1 “a=%d, b=%d\n”* 1 
LBL=ol====|== 一 b= | 
a a 
b b 
内 存 高 端 内 存 高 端 

















图 11.6 printf 函数 调用 时 的 内 存 布局 图 11.7 格式 化 漏洞 原理 
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上 面 的 例子 说 明了 printf 函数 的 设计 缺陷 ,该 缺陷 可 以 被 攻击 者 利用 。 在 使 用 这 些 函 
数 的 时 候 , 如 果 程 序 员 朴 忽 ,没有 指定 格式 字符 串 参 数 而 直接 输出 字符 串 内 容 , 就 会 导致 格 
式 化 字符 串 漏洞 的 发 生 。 这 种 误 用 的 问题 在 于 来 自用 户 的 输出 字符 串 可 能 包含 格式 化 字符 
串 , 例 如 %%s、%d 等 ,而 实际 的 函数 调用 并 没有 提供 任何 与 这 些 格式 字符 串 相对 应 的 参数 ， 
因此 被 调用 函数 的 格式 处 理 代码 会 试图 从 栈 上 获取 其 他 数据 ,从 而 引发 漏洞 。 例 如 在 
printf(buffer) 中 ,buffer 中 的 数据 是 *%p%p%p%p”, 就 可 能 会 打印 出 诸如 以 下 结果 : 





0xbffffb18 Oxbffffaf8 0x80482460 0x4200aec8 


这 是 因为 在 代码 中 我 们 没有 指定 对 应 的 参数 ,printf 函数 就 会 按 地 址 格式 打印 出 其 后 
栈 中 的 其 他 数据 。 如 果 buffer 中 有 相当 多 的 %p, 就 可 能 会 打印 出 栈 中 的 一 些 重要 地 址 (如 
函数 的 返回 地 址 等 )。 如 果 精 心 构造 输入 数据 ,还 可 以 将 存放 在 任意 内 存 地 址 的 数据 显示 
出 来 。 

格式 化 字符 串 漏洞 除了 可 被 利用 来 显示 重要 数据 信息 外 ,更 危险 的 是 它 还 可 被 用 来 向 
内 存 中 写 入 指定 的 数据 。“%n” 就 是 printf 类 函数 提供 的 用 来 将 打印 出 的 数据 长 度 写 入 一 
个 整 型 变量 中 的 格式 化 字符 串 ,例如 以 下 这 段 代 码 : 

int i=0; 

printf("hello% n", &i); 

执行 代码 后 ,此 时 整 型 变量 i 的 值 应 该 被 赋 为 printf 函数 所 打印 出 的 字符 个 数 , 即 为 5。 
类 似 地 ,如 果 “%n” 存 在 于 前 面 那 段 有 漏洞 代码 的 buffer 中 ,相应 的 内 存 地 址 就 可 被 写 人 数 
据 。 如 果 函 数 的 返回 地 址 恰好 被 写 和 人 数据 覆盖 ,那么 程序 的 执行 流程 就 被 改变 了 。 

在 C/C++ 语言 中 ,可 能 存在 与 printf 类 似 格 式 化 字符 串 漏洞 的 函数 还 有 Snpfintf()、 
sprint() ,fprintf() ,vprint{() ,vfprintf() .vsnprint{() ,syslog() .vsprint() ,setproctitle( ) 等 。 

利用 格式 化 字符 串 漏 洞 ,可 以 任意 读 写 程序 内 存 空间 中 的 数据 信息 ,其 可 能 造成 的 危害 
非常 严重 ,因此 此 类 漏洞 是 软件 安全 漏洞 挖掘 的 一 个 重要 目标 。 


11.3 整数 溢出 漏洞 


整数 在 计算 机 系统 中 可 被 分 为 无 符号 整数 和 有 符号 整数 两 类 ,其 中 有 符号 正 整 数 的 最 
高 位 为 0, 有 符号 负 整数 的 最 高 位 为 1; 而 无 符号 整数 则 没有 这 些 限制 。8 位 (布尔 .单字 节 
字符 等 ) 16 位 ( 短 整 型 .unicode 等 )、32 位 ( 整 型 .长 整 型 ) 和 64 位 (int64) 等 都 是 计算 机 系 
统 中 常见 的 整数 类 型 。 每 种 类 型 的 整数 所 能 表示 的 数值 大 小 是 有 一 定 范围 的 , 当 对 整数 进 
行 计算 或 转化 时 ,如 果 运 算 的 结果 超出 该 类 型 的 整数 所 能 表示 的 范围 ,此 时 整数 溢出 就 会 产 
生 。 整 数 溢出 主要 可 分 为 以 下 3 种 情况 。 

(1) 存储 溢出 : 是 由 使 用 不 同 的 数据 类 型 来 存储 整数 造成 的 。 当 在 一 个 较 小 的 整数 变 
量 存储 区 域 中 放 入 一 个 较 大 的 整数 变量 ,就 会 造成 截断 多 余 位 只 保留 较 小 变量 所 能 存储 的 
位 数 的 结果 。 

(2) 计算 溢出 : 在 计算 整 型 变量 的 过 程 中 ,对 其 所 能 表示 的 边界 范围 没 考虑 到 ,从 而 导 
致 计算 得 到 的 数值 超出 了 其 最 大 存储 空间 。 
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(3) 符号 问题 : 有 符号 整数 和 无 符号 整数 是 整数 的 两 种 类 型 ,一 般 要 求 数据 的 长 度 变 
量 都 要 使 用 无 符号 整数 ,如 果 符 号 问题 被 程序 员 所 忽略 ,那么 意 想不到 的 情况 就 可 能 发 生 在 
对 数值 的 边界 进行 安全 检查 时 。 

几乎 所 有 整数 溢出 漏洞 都 因为 算术 运算 (如 加 、 乘 等 ) 中 涉及 未 审核 的 用 户 可 修改 的 数 
值 ,而 这 些 运算 的 潜在 溢出 结果 值 都 被 用 于 关键 操作 中 (如 内 存 的 分 配 、 复 制 等 )。 例 如 如 下 
所 示 代 码 : 

char * integer overflow(int * data,unsigned int len) 

人 

unsigned int size= len+1; 

char * buf = (Char * )malloc(size); 
if(!buf) return NULL; 

memcpy(buf, data, len); 

buf[len] = "\0'; 

return buf; 

} 

用 户 输入 的 整 型 数据 会 被 该 函数 复制 到 新 的 缓冲 区 中 ,并 且 结 尾 符 “\0" 会 在 其 最 后 被 
写 人 。 如 果 0xFFFFFFFF 被 攻击 者 作为 参数 len 的 值 传人 ,那么 整数 溢出 就 会 在 计算 size 
时 发 生 , 随 后 malloc 函数 就 会 根据 size 的 值 分 配 大 小 为 0 的 内 存 块 ,而 紧 接 着 执行 memcpy 
时 就 会 发 生 堆 溢 出 。 通 常情 况 下 ,单独 利用 整数 溢出 来 实现 攻击 目的 是 不 太 可 能 的 ,整数 溢 
出 大 多 是 被 用 来 绕 过 程序 中 存在 的 条 件 检测 等 限制 ,进而 引发 其 他 漏洞 来 完成 攻击 ,正如 上 
面 例子 所 示 的 缓冲 区 溢出 就 是 利用 整数 溢出 引发 的 。 


11.4 应 用 系统 安全 漏洞 发 掘 方法 


软件 安全 漏洞 发 掘 是 一 个 涉及 诸多 技术 的 复杂 工程 ,主要 可 分 为 对 已 知 漏洞 的 检测 和 
对 未 知 漏洞 的 发 掘 。 对 已 知 漏洞 的 检测 主要 是 通过 安全 扫描 技术 ,来 发 现 软件 系统 是 否 存 
在 已 公布 的 安全 漏洞 。 而 对 未 知 漏洞 发 掘 的 主要 目的 在 于 发 现 软件 系统 中 可 能 存在 但 尚未 
被 发 现 的 安全 漏洞 。 依 据 不 同 的 划分 标准 ,可 将 软件 安全 漏洞 发 掘 方法 划分 为 不 同类 型 。 
根据 漏洞 发 掘 的 自动 化 程度 ,可 分 为 手工 分 析 、` 半 自动 或 自动 化 分 析 ; 根据 软件 源 代码 的 开 
放 性 ,可 分 为 白 盒 分 析 、. 黑 盒 分 析 和 灰 盒 分 析 3 类 。 白 盒 分 析 是 指 拥有 被 测 程序 的 源 代 码 和 
设计 文档 等 资料 ; 黑 盒 分 析 是 指 没有 源 代码 而 只 能 运行 目标 软件 观察 其 输出 结果 来 进行 分 
析 ; 灰 盒 分 析 介 于 二 者 之 间 ,通过 逆向 工程 获得 目标 软件 的 汇编 代码 来 进行 分 析 。 根 据 目 
标 软件 的 运行 状态 ,可 分 为 静态 分 析 和 动态 分 析 。 静 态 分 析 方法 的 使 用 无 须 运行 程序 ,而 动 
态 分 析 方 法 则 需要 运行 程序 进行 动态 调试 分 析 。 针 对 具体 的 测试 对 象 可 以 分 别 采 用 不 同 的 
发 气 方 法 ,也 可 多 种 分 析 方 法 结合 使 用 。 下 面 将 重点 对 静态 分 析 方 法 和 动态 分 析 方 法 进行 
一 些 分 析 和 总 结 。 

1. 静态 分 析 方 法 

静态 分 析 方 法 获取 程序 的 各 种 调用 信息 和 动态 特性 是 通过 静态 分 析 程 序 代码 来 实现 
的 ,并 不 需要 执行 程序 。 静 态 分 析 方 法 与 动态 分 析 方 法 相 比 ,通常 所 花费 的 检测 时 间 更 少 。 
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常见 的 静态 分 析 方 法 主要 有 词法 语法 分 析 ,模式 匹配 分 析 、 数 据 流 分 析 、 补 丁 比较 分 析 和 模 
型 化 分 析 方 法 等 。 

模式 匹配 通过 依据 一 定 的 规则 或 模式 在 程序 源 代码 或 反 汇 编 二 进 制 代码 得 到 的 汇编 代 
码 中 发 掘 软件 中 的 漏洞 。 软 件 中 需要 重点 检查 的 区 域 有 : 没有 执行 或 执行 了 不 正确 的 边界 
检查 的 函数 、 使 用 用 户 数 据 作 为 参数 或 以 字符 串 格式 进行 传 参 的 函数 、 强 制 通过 格式 化 字符 
串 进 行 边界 检查 的 函数 、 使 用 循环 操作 获得 用 户 输入 的 程序 .原始 的 字符 复制 操作 在 用 户 
缓冲 区 内 进行 的 指针 运算 等 。 词 法 语法 分 析 方 法 在 与 C 编译 器 创建 的 抽象 语法 表示 类 似 
的 程序 语法 的 基础 上 进行 分 析 。 数 据 流 分 析 方 法 判断 程序 中 的 漏洞 是 依据 数据 在 程序 运行 
时 的 流向 来 进行 的 。 此 外 还 有 通过 标记 注释 的 方法 来 研究 分 析 程 序 源 代码 ,以 分 析 查 找 漏 
洞 。 对 静态 分 析 方 法 的 研究 日 趋 完善 和 成 熟 , 此 方面 的 许多 研究 成 果 都 成 了 漏洞 挖掘 的 经 
典 技术 和 方法 。 

2. 动态 分 析 法 

动态 分 析 技术 一 般 是 通过 在 调试 器 中 加 载 目 标 程序 并 观察 程序 在 运行 过 程 中 的 状态 
(如 寄存 器 内 容 、 内 存 使 用 状况 等 ) 以 发 现 潜在 的 漏洞 。 代 码 流 和 数据 流 是 它 通常 的 两 个 着 
手 点 : 通过 在 程序 中 设置 断 点 来 对 目标 程序 的 代码 执行 进行 动态 跟踪 ,以 检测 出 有 问题 的 
函数 调用 ; 动态 分 析 数 据 流 ,通过 构造 特殊 输入 数据 来 触发 程序 的 潜在 错误 并 对 结果 进行 
分 析 。 动 态 分 析 通 常 需要 有 调试 器 工具 的 支持 ,常用 的 动态 调试 器 有 OllyDbg、WinDbg 
等 。 故 障 注入 分 析 法 ,输入 追踪 法 和 堆栈 比较 法 等 都 是 比较 常见 的 动态 分 析 方 法 。 





11.5 ”Web 应 用 安全 


随 着 互联 网 相关 技术 的 飞速 发 展 ,Web 应 用 程序 凭借 其 交互 性 和 易 用 性 风靡 世界 。 但 
是 Web 应 用 程序 的 开发 周期 较 短 ,开发 技术 更 新 换代 快 而 且 易 于 入 门 , 这 就 造成 了 在 开发 
过 程 中 ,开发 人 员 的 安全 意识 相对 淡薄 ,对 安全 方面 的 重视 不 够 ,只 是 以 实现 功能 、 界 面 美 观 
为 主要 目的 。 另 外 ,Web 应 用 程序 具有 开放 性 ,用 户 访 问 量 很 大 ,这 加 大 了 被 攻击 的 概率 。 
OWASP 组 织 总 结 的 Web 应 用 漏洞 已 有 上 百 种 之 多 。 很 多 黑客 通过 Web 应 用 漏洞 窃取 金 
钱 、 隐 私 、 扰 乱 正常 的 业务 执行 。 据 调查 显示 ,网 络 上 超过 70% 的 攻击 来 自 于 Web 应 用 层 
的 漏洞 。 


11.5.1 Web 应 用 基础 


1. HTTP 协议 模型 

HTTP 协议 是 一 种 用 于 客户 端 到 Web 服务 器 之 间 请 求 和 应 答 的 通信 协议 。HTTP 协 
议 在 网 络 体系 协议 中 处 于 应 用 层 协 议 ,主要 由 HTTP 请 求 和 HTTP 响应 组 成 ,是 典型 的 
B/S 模型 。HTTP 是 一 个 无 状态 的 协议 。HTTP 协议 总 i 
是 由 客户 端 发 起 请 求 , 服 务 器 经 过 处 理 请 求 后 回 传 响应 ， | 浏览 器 睹 一 一 “| web 服 务 器 
服务 器 端 只 能 被 动 地 接受 请 求 ,如 图 11. 8 所 示 。 一 次 HTTP 响 应 
HTTP 操作 称 为 一 个 事务 ,其 工作 过 程 可 分 为 以 下 4 步 。 图 11.8 HTTP 协议 应 用 模式 
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(1) 用 户 输入 一 个 网 址 ,浏览 器 对 网 址 进行 解析 ,提取 出 使 用 的 协议 版 本 、 网 址 的 域名 、 
所 需要 获取 目标 的 路 径 , 可 能 还 带 有 一 些 参数 。 

(2) 浏览 器 利用 第 一 步 解析 的 信息 构造 HTTP 请 求 ,并 将 请 求 发 送 到 服务 器 端 。 

(3) 服务 器 端 收 到 请 求 后 就 处 理 请 求 , 其 中 有 可 能 还 要 重 定向 ,服务 器 处 理 完 请 求 后 产 
生 了 一 个 响应 。 

(4) 服务 器 将 响应 以 HTML 文档 的 形式 发 送 给 浏览 器 ,浏览 器 解析 HTTP 的 响应 头 ， 
判断 返回 码 是 否 成 功 返 回 所 需要 的 网 页 ,浏览 器 这 染 HTML 文档 ,显示 界面 。 

最 早 的 WWW 服务 器 上 包含 的 都 是 静态 文件 ,有 HTML 网 页 .音频 图片, 文档 等 。 服 
务 器 一 直 在 等 待 客户 端的 请 求 , 当 收 到 一 个 请 求 时 ,服务 器 就 处 理 请 求 ,寻找 到 用 户 请 求 的 
静态 文件 ,将 文件 发 送 给 客户 端 。 

如 今 的 Web 服务 器 主要 提供 动态 生成 的 内 容 , 动 态 内 容 由 在 服务 器 上 的 脚本 产生 ， 
Web 应 用 处 理 用 户 提交 的 各 种 输入 ,通过 带 查 询 字符 串 的 URL 和 POST 方法 提交 数据 , 服 
务 器 根据 用 户 参 数 产生 动态 的 内 容 , 将 内 容 返 回 给 用 户 。 

2. Web 应 用 体系 结构 

Web 应 用 指 采用 浏览 器 /服务 器 (Browser/Server, B/S) 架 构 、 通 过 超 文 本 传输 协议 
(HyperText Transfer Protocol, HTTP) 或 以 安全 为 目标 的 HTTP 通道 (Hypertext 
Transfer Protocol over Secure SocketLayer,HTTPS) 协 议 提 供 访问 的 各 种 应 用 服务 统称 ， 
如 图 11. 9 所 示 ,是 一 个 典型 的 Web 应 用 架构 。Web 应 用 通常 就 是 我 们 所 说 的 网 站 ,包含 
文字 图片 .视频 .音频 .CSS 文件 Javascript 文件 等 静态 文件 ,还 包括 一 些 根据 用 户 请 求 动 
态 生 成 的 动态 页 面 。 搜 索引 擎 就 是 一 个 典型 的 Web 应 用 , 它 根 据 用 户 提交 的 关键 字 动 态 生 


人 -CD)- 国 -| 


浏览 器 Web 服 务 器 数据 库 服务 器 
图 11.9 ”Web 应 用 架构 


常见 的 Web 应 用 程序 都 是 基于 模型 -视图 -控制 器 (MVC) 设 计 的 ,通常 由 表示 层 、 应 用 
层 数据 层 组 成 。 

(1) 表示 层 : 表示 层 直接 与 用 户 进行 交互 ,获取 用 户 的 输入 ,验证 输入 的 合法 性 ,并 传 
递 给 处 在 服务 器 端的 应 用 层 , 应 用 层 将 处 理 的 结果 返回 给 表示 层 , 客 户 端 浏览 器 以 HTML 
的 形式 显示 处 理 的 结果 。 

(2) 应 用 层 : 应 用 层 通常 也 被 称 为 业务 层 , 它 是 表示 层 和 数据 层 的 桥梁 ,位 于 Web 服务 
器 端 , 它 处 理 用户 提 交 上 来 的 请 求 ,控制 将 用 户 的 请 求 发 送 给 每 一 层 的 业务 逻辑 ,另外 还 调 
用 数据 层 的 接口 ,获取 数据 库 的 数据 ,产生 HTTP 的 响应 。 

(3) 数据 层 : 数据 层 Web 应 用 程序 与 数据 库 的 交互 ,连接 和 访问 数据 库 , 通 过 SQL 语 
名 向 用 户 提 交 数 据 处 理 请 求 , 查 询 、 更 新 、 删 除 、 修 改 相 关 数 据 ,并 将 数据 处 理 结果 返回 给 
Web 应 用 服务 器 ,再 由 Web 应 用 服务 器 返回 给 客户 端 。 
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11.5.2 Web 应 用 漏洞 


Web 应 用 程序 漏洞 通常 被 认为 是 各 种 编程 语言 (PHP、JSP、Python 等 ) 开 发 的 Web 
Application/ Web Service 中 所 存在 的 安全 漏洞 。 如 果 这 些 安 全 漏洞 被 发 所 ,可 能 被 利用 来 
攻击 Web 应 用 、 自 改 网 页 信息 、 盗 取 数据 库 信息 ,甚至 有 可 能 提 权 ,获取 服务 器 的 管理 权限 。 
Web 应 用 程序 漏洞 包括 SQL 注入 漏洞 .XSS 漏洞 .信息 泄漏 漏洞 . 跨 网 站 请 求 漏洞 .命令 注 
入 漏洞 等 。 

OWASP(Open Web Appliaction Security Project) 组 织 的 Top10 项 目 评 出 的 Web 应 用 
十 大 应 用 漏洞 显示 ,SQL 注入 攻击 、 跨 站 脚本 攻击 的 威胁 最 大 ,分 别 占 到 了 16%、19% 的 比 
例 。 本 文 仅 对 这 两 类 攻击 的 原理 进行 分 析 。 


11.5.3 SQL 注入 漏洞 及 防御 机 制 


1. 概述 

在 Web 应 用 中 ,一 个 SQL 查询 过 程 一 般 是 Web 服务 器 根据 用 户 的 查询 请 求 ( 用 户 参 
数 ) 拼 接 成 SQL 语句 , 交 由 数据 库 服 务 器 执行 , Web 服务 器 根据 SQL 语句 执行 结果 构建 
Web 动态 页 面 并 发 送 给 客户 。 但 是 当 用 户 提 交恶 意 请 求 ,而 Web 应 用 程序 如 果 对 用 户 提 
交 的 参数 未 做 过 滤 就 直接 构造 SQL 语句 ,就 会 使 得 数据 库 服 务 器 执行 攻击 者 精心 构建 的 
SQL 语句 或 语句 序列 ,从 而 达到 破坏 数据 库 、 获 取 机 密 数 据 ,甚至 可 能 盗 取 数 据 库 服 务 器 的 
管理 员 权 限 的 目的 ,这 种 攻击 称 为 SQL 注入 (SQL Injection) 攻 击 。 

一 般 而 言 ,SQL 注入 攻击 对 于 各 种 关系 型 数据 库 ( 如 DB2、Oracle、Sybase、MySQL、 
Microsoft SQL Server 等 ) 均 有 效 ,但 是 由 于 各 个 数据 库 的 SQL 语法 不 尽 相 同 ,其 攻击 语句 
可 能 会 有 所 差别 。 

下 面 以 登录 验证 为 例 ,说 明 SQL 注入 攻击 的 实现 方法 。 在 Web 应 用 程序 的 登录 界面 
中 需要 输入 用 户 名 .口令 信息 ,如 图 11. 10 所 示 , 这 些 信 息 以 参数 的 形式 传送 到 Web 服务 
器 ,Web 服务 器 根据 用 户 参数 构建 SQL 语句 , 交 由 数据 库 服 务 器 执行 查询 ,根据 查询 结果 
验证 当前 用 户 是 否 为 合法 用 户 ,构建 的 SQL 语句 可 表述 为 : 

SELECT ID 

FROM USERS 

WHERE UAERNAME = 'chenping' AND PASSWD = '123456 "7 

对 于 攻击 者 来 说 ,为 了 绕 过 用 户 身 份 检查 ,可 在 登录 界面 的 用 户 名 表单 中 输入 "test' or 
1 一 1 一 " ,这 样 在 服务 器 端 根据 用 户 输入 构成 的 SQL 语句 就 为 : 





SELECT ID 

FROM USERS 

WHERE UAERNAME = 'test'or 1 =1--'AND PASSWD = 7 

该 语句 进行 了 两 个 判断 ,只 要 一 个 条 件 成 立 , 就 会 执行 成 功 ,而 1=1 在 逻辑 判断 上 是 恒 
成 立 的 ,后 面 的 “--” 表 示 注 释 , 即 后 面 所 有 的 请 句 为 注释 语句 。 这 样 上 述 SQL 语句 
WHERE 条 件 表达 式 恒 为 真 ,用 户 不 需要 正确 的 用 户 名 和 密码 也 能 登录 系统 。 

如 果 攻 击 者 在 登录 界面 的 用 户 名 表单 中 输入 的 信息 为 "test' or 1 二 1; drop table users ;一 "， 
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全 注册 会 员 
。 还 不 是 会 员 ? 现在 就 在 此 注册 成 为 会 员 。 
* 注册 成 为 本 站 的 会 员 客 户 后 ， 可 享受 本 站 提供 的 
所 有 功能 和 服务 。 





图 11.10 登录 界面 


不 仅 可 以 绕 过 身份 检查 ,而 且 还 删除 了 数据 库 中 的 表 。 同 理 通过 在 输入 参数 中 构建 SQL 请 
法 还 可 以 执行 查询 ,插入 和 更 新 数据 库 中 的 数据 等 危险 操作 。 


(1) ;union select sum(username)from users: 从 users 表 中 查询 出 username 的 个 数 。 
(2) ;insert into users values(666,’attacker, foobar” ,0xffff) : 在 users 表 中 插入 值 。 

(3) ;union select@(@version,1,1,1: 查询 数据 库 的 版 本 。 

(4) ;exec master. . xp_cmdshell “dir’: 通过 xp_cmdshell 来 执行 dir 命令 。 

2. 防御 

SQL 注入 漏洞 会 导致 攻击 者 可 以 直接 探测 数据 库 , 导 致 的 危害 非常 大 , 轻 则 泄露 数据 ， 


重 则 失去 系统 的 管理 员 权限 。 所 以 非常 有 必要 加 紧 防 范 , 青 怎么 重视 也 不 过 分 ,其 中 主要 的 
防御 措施 有 : 


(1) 在 服务 端正 式 处 理 之 前 对 提交 数据 的 合法 性 进行 检查 。 

(2) 封装 客户 端 提交 信息 。 

(3) 替换 或 删除 敏感 字符 /字符 串 。 

(4) 屏蔽 出 错 信息 。 

(5) 不 要 用 字 串 连接 建立 SQL 查询 ,而 使 用 SQL 变量 ,因为 变量 不 是 可 以 执行 的 


(6) 目录 最 小 化 权限 设置 ,给 静态 网 页 目录 和 动态 网 页 目录 分 别 设置 不 同 权 限 , 尽 量 不 


给 写 目 录 权 限 。 


(7) 修改 或 者 去 掉 Web 服务 器 上 默认 的 一 些 危险 命令 ,例如 ftp .cmd、wscript 等 ,需要 


时 再 复制 到 相应 目录 。 


(8) 数据 敏感 信息 非常 规 加 密 ,通常 在 程序 中 对 口令 等 敏感 信息 加 密 都 是 采用 MD5 画 


数 进行 加 密 , 即 密 文 二 MD5( 明 文 ) ,本 书 推荐 在 原来 的 加 密 的 基础 上 增加 一 些 非常 规 的 方 
式 , 即 在 MD5 加 密 的 基础 上 附带 一 些 值 , 如 密 文王 MD5(MD5( 上 明文) 十 123456)。 


11.5.4 XSS 注入 漏洞 及 防御 机 制 


1. 概述 
跨 站 脚本 漏洞 (Cross-site Scripting) 是 一 种 针对 Web 应 用 程序 的 安全 漏洞 。 它 一 般 指 
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的 是 利用 网 页 开发 时 留 下 的 安全 漏洞 ,使 用 特殊 的 方法 将 恶意 Javascript 代码 注入 到 网 页 
中 ,用 户 在 不 知 不 觉 中 加 载 并 执行 攻击 者 构造 的 恶意 Javascript 代码 。 当 攻击 成 功 后 ,攻击 
者 可 能 执行 下 列 操作 : 挂 马 、 钓 鱼 、 获 取 私密 网 页 内 容 、 支 持 用 户 Web 行为 . 盗 取 会 话 和 
cookie 等 。 大 量 的 网 站 曾经 遭受 XSS 漏洞 攻击 或 被 发 现 此 类 漏洞 ,如 Twitter、Facebook、 
MySpace、 新 浪 微 博 和 百度 贴吧 。 

构成 跨 站 脚本 漏洞 的 主要 原因 是 很 多 网 站 提供 了 用 户 交 互 的 页 面 ,如 检索 、 留 言 本 ,、 论 
坛 等 ,凡是 能 够 提供 信息 输入 ,同时 又 会 将 提交 信息 作为 网 站 页 面 内 容 输 出 的 地 方 都 可 能 存 
在 跨 站 脚本 漏洞 ,服务 器 程序 对 输入 信息 检查 不 严格 导致 了 脚本 嵌入 的 可 能 。 

2. 分 类 

XSS 漏洞 有 3 类 : 反射 型 XSS( 也 叫 非 持久 型 XSS 漏洞 ) ,存储 型 XSS 和 DOM 型 XSS。 

1) 反射 型 XSS 

反射 型 XSS 是 最 常用 ,也 是 使 用 得 最 广泛 的 一 种 攻击 方式 , 它 通过 给 别人 发 送 带 有 恶 
意 脚本 代码 参数 的 URL, 当 URL 地 址 被 打开 时 ,特有 的 恶意 代码 参数 被 HTML 解析 、 执 
行 。 它 的 特点 是 非 持 久 化 ,必须 由 用 户 单 击 带 有 特定 参数 的 链接 才能 引起 。 例 如 有 以 下 
index. php 页 面 ， 

<?php 

$username = $ _GET["name"]; 

echo "<p > 欢迎 您 ，". $ username. "!</p>"; 

正常 情况 下 ,用 户 会 在 URL 中 提交 参数 name 的 值 为 自己 的 姓名 ,然后 该 数据 内 容 会 
通过 以 上 代码 在 页 面 中 展示 ,如 用 户 提交 姓名 为 “ 张 三 ”, 完 整 的 URL 地 址 如 下 : 


http://localhost/test. php?name = 张 三 


在 浏览 器 中 访问 时 ,会 显示 如 图 11. 11 所 示 的 内 容 。 





t/test. php?nane= 张 


GOOF aso] 





文件 外 编辑 下 ) 查看 CR 工具 上 帮助 00 
这 业 张 夹 。 乱 http://1ocalhosttest_ php?nwme= 张 三 


欢迎 您 ， 张 三 ! 








图 11.11 正常 访问 界面 


此 时 ,因为 用 户 输入 的 数据 信息 为 正常 数据 信息 ,经 过 脚本 处 理 以 后 页 面 反馈 的 源码 内 
容 为 二 p 之 欢迎 您 , 张 三 ! 志 /p 之 。 但 是 如 果 用 户 提交 的 数据 中 包含 有 可 能 被 浏览 器 执行 的 
代码 的 话 ,会 是 一 种 什么 情况 呢 ? 我 们 继续 提交 name 的 值 为 二 script>alert(/ 我 的 名 字 是 
张 三 /) 二 /script 盖 , 即 完 整 的 URL 地 址 为 http://localhost/test. php? name 一 近 script 二 
alert(/ 我 的 名 字 是 张 三 /) 所 /script> 。 

在 浏览 器 中 访问 时 ,我们 发 现 会 有 弹 窗 提示 ,如 图 11. 12 所 示 。 

那么 此 时 页 面 的 源码 又 是 什么 情况 呢 ? 
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文件 四 “编辑 中 查看 W 收藏 夫 W) 工具 TT) 帮助 00 








图 11.12 运行 脚本 界面 


源码 变 成 了 “一 p 二 欢迎 您 ,二 script>alert(/ 我 的 名 字 是 张 三 /) 志 /script 二 ! 二 /p 二 ”， 
我 们 从 源 代码 中 发 现 , 用 户 输入 的 数据 中 ,二 script 二 与 达 /script 二 标签 中 的 代码 被 浏览 器 
执行 了 ,而 这 并 不 是 网 页 脚本 程序 想 要 的 结果 。 这 个 例子 正 是 最 简单 的 一 种 XSS 跨 站 脚本 
攻击 的 形式 , 称 为 反射 型 XSS。 

2) 存储 型 XSS 

存储 型 XSS 又 称 为 永久 性 XSS, 它 的 危害 更 大 , 它 与 反射 型 XSS 漏洞 的 区 别 在 于 , 它 
提交 的 XSS 代码 会 存储 在 服务 器 中 ,有 可 能 存在 数据 库 中 ,也 有 可 能 存在 文件 系统 中 , 当 其 
他 用 户 请 求 带 有 这 个 注入 XSS 代码 的 网 页 时 就 会 下 载 并 执行 它 。 最 典型 的 例子 就 是 留言 
板 XSS, 用 户 提 交 一 条 包含 XSS 代码 的 留言 存储 到 数据 库 ,目标 用 户 查 看 留言 板 时 ,那些 留 
言 的 内 容 会 从 数据 库 查询 出 来 并 显示 ,浏览 器 发 现 有 XSS 代码 ,就 当 作 HTML 和 
Javascript 代码 解析 执行 ,于 是 就 触发 了 XSS 攻击 ,存储 型 XSS 的 攻击 是 很 隐蔽 的 ,不 容易 
通过 手工 查询 发 现 , 需 要 采用 自动 化 的 Web 应 用 漏洞 扫描 器 。 

3) DOM 型 XSS 

DOM 型 XSS 和 反射 型 XSS、 存 储 型 XSS 的 差别 在 于 : DOM 型 XSS 的 XSS 代码 并 不 
需要 服务 器 解析 响应 的 直接 参与 ,触发 XSS 靠 的 就 是 浏览 器 端的 DOM 解析 ,可 以 认为 完 
全 是 客户 端的 事情 。 举 例如 下 : 

<script> 

eval( location. hash. substr(1)); 

</script > 

这 就 是 一 个 DOM 型 XSS 漏洞 ,触发 方式 为 提交 请 求 http://www. foo. com/xssme. 
html 间 alert(1), 这 个 url 井 后 面 的 内 容 不 会 被 发 送 到 服务 端 ,仅仅 是 在 客户 段 被 接收 并 解析 
执行 。 在 Javascript 中 有 很 多 这 种 输入 点 可 以 注入 恶意 脚本 。 

3. XSS 漏洞 的 防范 措施 


跨 站 脚本 攻击 相对 于 其 他 网 络 漏洞 攻击 而 言 显得 更 为 隐蔽 ,也 更 难 防御 ,没有 一 劳 永 逸 
的 解决 办 法 。XSS 漏洞 是 在 用 户 和 Web 应 用 程序 交互 的 过 程 中 产生 的 , 既 有 Web 应 用 程 
序 本 身 的 问题 也 有 客户 端 用 户 的 问题 。 主 要 应 将 防御 的 重心 放 在 Web 应 用 程序 的 编程 上 ， 
但 是 用 户 良好 的 使 用 习惯 也 能 够 尽量 避免 XSS 攻击 。 所 以 我 们 分 两 个 方面 人 手 防 御 跨 站 
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脚本 攻击 ,程序 开发 者 在 编程 过 程 中 要 进行 输入 验证 ,用 户 在 浏览 网 页 时 也 应 采取 相应 安全 
措施 ,程序 开发 过 程 中 应 该 采取 的 措施 如 下 。 

(1) 过 滤 用 户 提交 数据 中 的 代码 。 这 种 方法 的 实施 过 程 比较 复杂 ,不 仅仅 需要 考虑 
< 一 script 一 二 /script 全 标签 ,各 种 可 能 的 XSS 攻击 载体 都 要 考虑 进来 。 将 所 有 非法 输入 保 
存 成 黑 名 单方 式 过 滤 数据 是 不 太 可 能 实现 的 ,更 好 的 方式 就 是 只 接收 合法 的 数据 。 

(2) 对 用 户 输入 的 数据 或 基于 用 户 输入 数据 而 生成 的 输出 数据 进行 编码 。 一 般 而 言 ， 
编码 是 很 简单 也 是 很 有 效 的 防范 XSS 脚本 的 方法 ,因为 它 不 需要 区 别 合 法 字符 和 非法 字 
符 。 这 么 做 的 缺陷 是 ,对 所 有 不 可 信 数 据 编码 非常 浪费 系统 资源 ,可 能 影响 到 Web 服务 器 
的 性 能 。 

(3) 对 表单 输入 域 输入 字符 的 长 度 加 以 限制 。 对 于 一 些 可 能 受到 攻击 的 表单 输入 域 ， 
可 以 限制 其 输入 字符 的 长 度 。 

(4) 禁止 上 传 Flash。 文 件 利用 Flash 文件 进行 跨 站 脚本 攻击 难于 防范 ,如 果 不 能 确定 
上 传 的 Flash 文件 是 否 安全 , 那 就 干脆 禁止 用 户 上 传 Flash 文件 ,以 彻底 阻 断 Flash 跨 站 攻 
击 的 途径 。 

(5) 检查 cookie 信息 。 许 多 Web 应 用 程序 利用 cookie 来 管理 通信 状态 ,并 存储 与 用 户 
相关 的 信息 。 开 发 人 员 必 须 对 cookie 信息 进行 严格 的 检查 和 过 滤 之 后 才能 将 其 插入 
HTML 文档 。 

用 户 的 应 对 措施 如 下 。 

(1) 慎重 点 击 不 可 信 的 链接 ,只 点 击 一 些 可 信和 链接 、 可 信和 网 站 。 有 时 候 XSS 攻击 会 在 
打开 电子 邮件 、 阅 读 留 言 板 、 打 开 附 件 、 阅 读 论坛 时 不 经 意 发 生 。 

(2) 提高 浏览 器 的 安全 等 级 ,及 时 将 浏览 器 更 新 到 最 新 版 本 ,将 浏览 器 的 安全 级 别 设置 
为 高 ,同时 禁用 一 些 不 需要 运行 的 脚本 。 

(3) 要 在 不 同 的 Web 应 用 程序 中 使 用 不 同 的 用 户 名 和 密码 。 


11.6 小 结 





由 于 应 用 程序 在 开发 中 不 可 避免 会 存在 无 意 的 缺陷 或 故意 留 下 的 安全 漏洞 ,如 何在 应 
用 系统 开发 过 程 中 避免 漏洞 ,如 何 发 现 \ 检 测 应 用 系统 存在 的 漏洞 ,是 保障 应 用 系统 及 其 运 
行 平 台 安 全 的 重要 方面 。 本 章 主 要 讨论 了 常见 的 缓冲 区 溢出 漏洞 .格式 化 字符 串 漏 洞 .整数 
溢出 漏洞 的 原理 和 预防 、 检 测 方法 ,并 针对 目前 应 用 广泛 的 Web 系统 的 安全 性 进行 了 讨论 ， 
重点 介绍 了 SQL 注入 攻击 和 跨 站 脚本 攻击 的 原理 和 防范 措施 。 


习 题 
一 、 填 空 是 


i 攻击 一 直 是 网 络 攻击 事件 中 用 得 最 多 的 一 种 攻击 方式 。 
2.“ 冲 击 波 " 和 “震荡 波 ” 都 是 利用 漏洞 进行 攻击 的 。 
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. 格式 化 字符 串 漏洞 的 根源 在 于 
. 整数 游 出 主要 分 三 种 情况 : 
. Web 应 用 架构 包括 以 下 组 成 部 分 : 








a 


. 跨 站 脚本 漏洞 有 3 类: 

、 简 答题 

. 什么 是 缓冲 区 溢出 攻击 ? 

. 缓冲 区 溢出 的 原因 是 什么 ?如何 防 范 ? 

. 请 描述 在 函数 调用 时 ,对 堆栈 的 操作 步骤 。 





I 


.请 谈 谈 对 SQL 注入 攻击 的 认识 。 
.请 谈 谈 对 跨 站 脚本 攻击 的 认识 。 


wD 


. 查阅 相关 资料 , 谈 谈 你 对 白 盒 测试 . 黑 盒 测 试 、 灰 盒 测试 的 看 法 。 


第 12 章 信息 系统 安全 新 技术 


随 着 信息 技术 的 快速 发 展 , 信 息 系统 在 各 行 各 业 得 到 了 越 来 越 广泛 的 应 用 ,一 些 基 于 云 
计算 技术 、 物 联网 技术 和 移动 互联 网 技术 的 新 型 信息 系统 大 量 出 现 ,并 在 国家 、 企 业 和 个 人 
中 迅速 普及 。 这 些 新 型 信息 系统 的 使 用 在 给 组 织 和 个 人 的 工作 .生活 带 来 高 效 和 便利 的 同 
时 ,也 引入 了 新 的 信息 安全 问题 ,需要 针对 各 自 特点 研究 其 信息 安全 防护 技术 ,提高 其 信息 
安全 防护 能 力 。 

本 章 对 信息 系统 安全 的 新 技术 进行 了 简要 介绍 ,12. 1 节 介绍 云 计算 系统 的 基本 概念 、 
面临 的 主要 安全 威胁 和 主要 应 对 策略 ,12. 2 节 讲 述 物 联 网 的 概念 、 体 系 结构 和 安全 新 特征 ， 
12. 3 节 介绍 移动 互联 网 的 发 展现 状 、 安 全 性 方面 的 特点 以 及 主要 安全 机 制 ,12. 4 节 对 本 章 
的 内 容 进行 小 结 。 


12.1 去 计算 信息 系统 及 其 安全 技术 


当前 , 云 计 算 已 经 成 为 通信 、IT 界 关 注 的 重点 ,各 方 均 看 好 其 市 场 发 展 前 景 。 云 计算 本 
质 上 是 传统 电信 IDC 增值 业务 的 延伸 和 扩展 ,通过 互联 网 对 用 户 提 供 IT 基础 资源 (包括 计 
算 、 存 储 、 网 络 、 软 件 等 ) 的 按 需 租用 .能够 降低 用 户 的 IT 运 维 成 本 ,使 得 用 户 可 以 专注 于 自 
身 业 务 。 由 于 云 计算 的 独特 优势 ,欧美 等 国家 政府 均 大 力 推 广 使 用 此 项 技术 , 云 计算 的 广泛 
普及 对 工业 化 和 信息 化 的 快速 融合 及 国民 经 济 发 展 均 有 促进 作用 。 

云 计算 具有 按 需 服务 宽带 接 人 、 虚 拟 化 资源 池 、 快 速 弹性 架构 .可 测量 的 服务 和 多 租户 
等 特点 ,不 但 对 传统 的 安全 提出 了 挑战 ,同时 也 为 IT 系统 引入 了 新 的 风险 。 因 此 ,在 云 计 
算 快速 推进 .广泛 普及 的 同时 ,有 必要 重点 对 云 安全 技术 进行 研究 ,在 云 中 引入 更 强大 的 安 
全 措施 ,否则 , 云 的 特性 以 及 云 提供 的 服务 不 仅 无 法 有 效 利 用 ,而 且 还 可 能 给 国家 、 企 业 、 个 
人 用 户 带 来 严重 的 安全 威胁 。 

一 般 来 说 , 云 计 算 的 安全 包括 两 个 不 同 的 研究 方向 : 

(1) 云 安 全 , 即 保护 云 计 算 系 统 本 身 的 安全 。 

(2) 安全 云 ,属于 云 计算 应 用 范畴 . 即 利 用 云 的 特性 ,将 云 作 为 一 种 安全 服务 提供 给 第 
让 
随后 章节 将 对 云 计算 安 全 的 第 一 个 层次 进行 曾 述 。 
1. 云 计算 模型 
我 们 使 用 NIST( 美 国 国家 标准 与 技术 研究 院 ) 给 出 的 云 计算 模型 。 简 要 地 说 , 云 模型 
可 以 解读 为 1 个 平台 、2 个 支付 方案 ( 按 使 用 量 收费 和 按 服务 收费 )、3 个 交付 模式 (IaaS、 
PaaS、SaaS) .4 个 部 署 模式 (私有 云 、 公 有 云 .社区 云 ,混合 云 )、5 个 关键 特性 (基础 资源 租 
用 、 按 需 弹 性 使 用 、 透 明 资源 访问 、 自 助 业 务 部 署 、 开 放 公 众 服务 ) , 详 见 图 12. 1。 

NIST 制订 的 《 云 计算 工作 定义 》 归 纳 了 云 计算 的 3 种 交付 模式 , 即 基 础 设施 即 服 务 
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图 12.1 云 计算 模型 结构 图 












































(Infrastructure as a Service,IaaS) .平台 即 服务 (Platform as a Service, PaaS) 软件 即 服务 
(Software as a Service,SaaS) 。 

下 面 从 集成 特色 功能 、 复 杂 性 、 扩 展 性 以 及 安全 性 等 方面 对 3 种 交付 模型 进行 比较 。 

一 般 来 说 ,SaaS 会 在 产品 中 提供 强大 的 集成 化 功能 ,对 用 户 而 言 使 用 简单 、 安 全 威胁 较 
小 ,但 可 扩展 能 力 差 。 

PaaS 为 开发 者 提供 在 平台 之 上 进行 二 次 开发 的 能 力 , 因 此 可 以 提供 比 SaaS 更 多 的 可 
扩展 性 ,其 代价 是 牺牲 SaaS 中 为 用 户 提供 的 特色 功能 。 这 种 折 中 也 会 影响 安全 能 力 ,虽然 
PaaS 内 置 的 安全 能 力 不 够 完备 ,但 是 用 户 却 拥有 更 多 的 灵活 性 去 保证 安全 。 

IaaS 几乎 不 提供 上 层 应 用 及 服务 ,但 却 有 最 好 的 可 扩展 性 。 同 时 IaaS 仅 提供 保护 基础 
设施 自身 的 安全 机 制 , 要 求 云 用 户 自 己 管理 和 保护 操作 系统 .应 用 和 内 容 。 

2. 国内 外 云 计算 安全 研究 动态 

云 计 算 引 发 的 数据 和 信息 泄露 .隐私 保护 和 被 滥用 等 安全 问题 已 经 引起 了 各 国政 府 的 
高 度 重视 。 作 为 一 种 新 兴 的 节省 IT 运 维 成 本 的 服务 模式 ,美国 政府 在 大 力 推广 云 计算 应 
用 的 同时 ,也 在 积极 采取 各 项 措施 应 对 云 计算 可 能 产生 的 各 种 风险 。 

据 报 道 ,美国 联邦 贸易 委员 会 (Federal Trade Commission, FTC) 调 查 了 云 计 算 可 能 存 
在 的 风险 ,并 于 2009 年 3 月 对 云 计 算 的 利 整 举行 了 听证 会 。 一 些 对 云 计算 持 反 对 意见 的 
人 ,包括 美国 电子 隐私 信息 中 心 (Electronic Privacy Information Center,EPIC) 认 为 ,由 于 数 
据 管理 做 法 的 不 同 , 消 费 者 在 云 计算 下 个 人 信息 的 泄露 风险 更 大 。 根 据 ComScore Media 
Metrix 的 统计 结果 表示 , 仅 在 2008 年 9 月 和 10 月 ,就 有 3040 万 用 户 使 用 了 Google 的 
Docs 和 Gmail 等 服务 。Google 的 云 计算 服务 中 存在 多 个 安全 漏洞 ,典型 的 漏洞 如 存在 被 
人 窃取 登录 信息 和 窥探 用 户 电 子 邮 件 ,以 及 通过 恶意 网 站 泄露 用 户 个 人 数据 的 漏洞 。EPIC 
甚至 要 求 FTC 以 法 律 明文 阻止 云 计算 的 部 署 。 同 时 EPIC 要 求 FTC 让 Google 将 其 安全 
政策 更 加 透明 化 ,将 所 有 数据 泄露 和 丢失 向 FTC 报告 .并 要 求 Google 专门 资助 云 系统 的 隐 
私 保 护 研 究 。 

FTC 听证 会 的 主要 目的 是 解决 以 下 问题 : 为 确保 云 计算 上 的 个 人 信息 安全 ,哪些 机 构 
可 以 管辖 数据 交换 ,改变 管辖 权 后 政府 能 否 访问 这 类 信息 ? 由 一 个 机 构 管辖 的 数据 中 心 存 
储 个 人 信息 与 多 个 数据 中 心 存储 相 比 ,哪个 风险 更 大 ?由 于 美国 当前 州 法 律 、 国 家 法 律 与 国 
际 法 律 都 没有 完善 的 法 律 可 依 ,身份 信息 盗窃 问题 日 益 严 重 ,如 果 监 管 不 严 ,数据 管理 服务 
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将 遭遇 前 溃 。 

云 安全 联盟 (Cloud Security Alliance,CSA) 成 立 于 2009 年 ,该 组 织 专注 于 云 计算 的 安 
全 体系 及 安全 标准 等 领域 ,其 宗旨 是 为 云 计算 环境 下 提供 最 佳 的 安全 方案 ,并 公开 了 多 部 涉 
及 云 安全 内 容 的 白皮书 。2011 年 11 月 14 日 ,CSA 发 布 了 第 三 版 ( 云 计算 关 键 领域 安全 指 
南 》, 该 白皮书 对 云 安 全 所 涉及 的 15 大 领域 进行 检查 ,其 中 包括 支配 和 企业 风险 、 信 息 和 全 
过 程 管理 、 适 应 性 与 审计 、eDiscovery 企业 内 容 管理 平台 .加 密 和 密 钥 管理 ,应 用 程序 安全 、 
身份 和 访问 管理 以 及 事件 响应 等 。 

截至 2011 年 11 月 月 底 ,CSA 和 ISACA( 国 际 信息 系统 审计 协会 ) ITU( 国 际 电信 联 
盟 ).OWASP( 开 放 式 Web 应 用 程序 安全 项 目 ) 等 10 个 业界 标准 组 织 建 立 了 合作 关系 ,其 企 
业 会 员 已 达 105 个 。 

为 了 支持 云 计算 的 标准 化 和 协同 工作 能 力 、 包 括 IBM、Sun Microsystems、VMware 在 
内 的 一 些 知 名 厂商 组 成 的 团体 签署 了 一 份 (开放 云 计算 宣言 )(Open Cloud Manifest)。 文 
件 将 致力 于 解决 云 计算 环境 中 所 出 现 的 周边 安全 、 整 合 \ 协 同 工 作 支配 /管理 和 测量 /监控 
等 问题 。 

3. 云 计算 中 的 安全 问题 及 应 对 策略 


云 计算 作为 新 的 服务 模式 ,在 带 来 了 诸多 好 处 的 同时 也 面临 着 巨大 的 安全 挑战 。 在 云 
环境 下 ,传统 的 安全 机 制 将 面临 云 架构 的 挑战 。 弹 性 资源 分 配 、 多 租户 、 新 的 物理 和 风 辑 架 
构 、 数 据 在 外 部 甚至 公众 的 环境 中 传输 都 需要 新 的 安全 策略 。 据 国际 权威 咨询 集团 IDC 的 
调查 分 析 表 明 : 用 户 将 安全 作为 对 云 计算 的 主要 顾虑 ,大 约 有 75% 的 受 访 者 担心 安全 问题 。 

本 节 将 对 云 中 的 数据 安全 、 应 用 安全 、 虚 拟 化 安全 、 云 服务 滥用 等 问题 及 应 对 策略 进行 
重点 介绍 。 

1) 云 中 的 数据 安全 

云 计算 环境 下 ,用 户 的 所 有 数据 直接 存储 在 云 中 ,在 需要 的 时 候 直 接 从 云端 下 载 使 用 。 
用 户 使 用 的 软件 由 服务 商 统一 部 署 在 云端 运行 ,软件 维护 由 服务 商 来 完成 , 当 终端 出 现 故障 
时 ,不 会 对 用 户 造成 影响 ,用 户 只 需要 更 换 终端 , 接 入 云 服务 就 可 以 获得 数据 。 实 现 上 述 描 
述 的 前 提 是 , 云 服务 商 需要 具备 完善 的 数据 安全 机 制 。 一 般 说 来 ,保护 云 中 数据 安全 ,需要 
如 下 技术 : 

(1) 增强 加 密 技 术 。 增 强加 密 是 云 计算 系统 保护 数据 的 一 种 核心 机 制 。 加 密 提 供 了 资 
源 保护 功能 ,同时 密 钥 管理 则 提供 了 对 受 保护 资源 的 访问 控制 。 云 服务 商 需 要 同时 对 网 络 
中 传输 的 数据 及 云 系统 中 的 静态 数据 进行 加 密 , 后 者 尤为 关键 。 加 密 磁 盘 上 的 数据 或 生产 
数据 库 中 的 数据 可 以 用 来 防止 恶意 的 云 服务 提供 商 、 恶 意 的 邻居 “租户 ”及 某 些 类 型 应 用 的 
滥用 。 此 外 ,一 些 用 户 可 能 会 有 如 下 需求 ,首先 加 密 自 己 的 数据 ,然后 将 密 文 发 送 给 云 服 务 
商 ,客户 控制 并 保存 密 钥 ,在 需要 的 情况 下 解密 数据 。 

在 IaaS 环境 中 ,使 用 多 种 提供 商 和 第 三 方 工具 加 密 静 止 数 据 非 常 普遍 。 在 PaaS 环境 
中 加 密 静 止 数据 一 般 会 比较 复杂 ,需要 提供 商 提 供 的 或 专门 定制 的 设备 。 在 SaaS 环境 中 云 
用 户 无 法 直接 加 密 静 止 数据 ,需要 云 服务 提供 商 为 其 加 密 。 

(2) 密 钥 管理 。 对 于 云 服 务 商 而 言 , 密 钥 必须 像 其 他 敏感 数据 一 样 进 行 保护 。 在 存储 、 
传输 和 备份 过 程 中 都 必须 保护 密 钥 的 安全 , 较 差 的 密 钥 存储 方案 可 能 对 加 密 的 数据 产生 严 
重 威胁 。 
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同时 云 服务 商 还 需要 相关 策略 来 管理 密 钥 的 存储 ,例如 利用 角色 分 离 进 行 访 问 控制 , 针 
对 某 一 密 钥 ,使 用 实体 不 能 是 存储 该 密 钥 的 实体 。 

丢失 密 钥 意味 着 被 此 密 钥 所 保护 的 数据 面临 严重 安全 风险 ,运营 商 必须 向 用 户 提供 安 
全 备份 和 安全 恢复 的 解决 方案 。 

(3) 数据 隔离 。 在 多 租户 环境 下 ,不同 用 户 的 数据 可 能 会 混合 存储 。 虽 然 云 计算 应 
用 在 设计 时 采用 多 种 技术 标注 数据 存储 空间 ,防止 非法 访问 混合 数据 ,但 是 通过 应 用 程 
序 的 漏洞 ,非法 访问 还 是 会 发 生 , 例 如 ,Gmail 系统 曾经 出 现 过 类 似 问 题 , 某 些 用 户 可 以 非 
法 获得 其 他 用 户 的 邮件 。 虽 然 云 服务 提供 商会 使 用 安全 机 制 减少 此 类 安全 事件 发 生 的 
概率 ,但 从 本 质 上 看 ,如 果 无 法 实现 单 租户 专用 数据 平台 ,这 种 安全 威胁 将 无 法 彻底 
根除 。 

(4) 数据 残留 是 数据 在 被 以 某 种 形式 擦 除 后 所 残留 的 物理 表现 ,存储 介质 被 擦 除 后 可 
能 留 有 一 些 物理 特性 使 数据 能 够 被 重建 。 由 于 云 计 算 的 动态 分 配 .资源 可 扩展 特性 , 某 一 块 
存储 空间 在 短 时 间 内 可 分 配给 多 个 用 户 , 如 果 云 服务 商 不 能 彻底 清除 之 前 用 户 的 历史 数据 ， 
则 后 来 用 户 可 能 通过 残留 的 数据 ,获取 其 他 用 户 的 敏感 信息 。 因 此 , 云 服 务 提 供 商 需 具备 相 
应 的 安全 能 力 ,无 论 用 户 的 信息 存放 在 硬盘 上 还 是 在 内 存 中 ,应 保证 在 二 次 分 配 之 前 彻底 清 
除 当 前 用 户 的 信息 ,保证 系统 内 的 文件 .目录 和 数据 库 记 录 等 资源 所 在 的 存储 空间 被 释放 ， 
或 重新 分 配给 其 他 云 用 户 前 完全 清除 。 

2) 应 用 安全 

由 于 云 环境 的 灵活 性 .开放 性 以 及 公众 可 用 性 等 特性 ,给 应 用 安全 带 来 了 很 大 挑战 。 云 
服务 商 在 部 署 应 用 程序 时 应 当 充分 考虑 未 来 可 能 引发 的 安全 风险 。 对 于 使 用 云 服务 的 用 户 
而 言 ,应 提高 安全 意识 ,采取 必要 措施 ,保证 云 终 端的 安全 。 例 如 ,用 户 可 以 在 处 理 敏感 数据 
的 应 用 程序 服务 器 之 间 通 信 时 采用 加 密 技术 ,以 确保 其 机 密 性 。 云 用 户 应 定期 自动 更 新 ,及 
时 为 使 用 云 服务 的 应 用 打 补 丁 或 更 新 版 本 。 

3) 虚拟 化 安全 

虚拟 化 是 云 计算 的 重要 特色 ,虚拟 化 技术 有 效 加 强 了 基础 设施 、 平 台 、 软 件 层 面 的 扩展 
能 力 , 但 虚拟 化 技术 的 应 用 使 得 传统 物理 安全 边界 缺失 .传统 的 基于 安全 域 /安全 边界 的 防 
护 机 制 难以 满足 虚拟 化 下 的 多 租户 应 用 模式 ,用 户 信息 安全 使 用 户 信息 隔离 问题 在 共享 物 
理 资源 环境 下 的 保护 更 为 迫切 。 

Gartner 公司 研究 表明 ,60% 的 虚拟 化 服务 器 比 物理 基础 设施 更 容易 遭 到 攻击 ,不 是 因 
为 虚拟 化 本 身 不 安全 ,而 在 于 系统 配置 方面 。 

研究 发 现 ,40% 的 虚拟 化 部 署 在 最 初 的 架构 和 规划 阶段 甚至 都 没有 考虑 到 IT 安全 因 
素 。Gartner 建议 安全 流程 应 该 扩展 到 虚拟 化 管理 程序 和 虚拟 机 监视 器 方面 。 虚 拟 化 层 可 
能 包含 嵌入 的 和 没有 发 现 的 安全 漏洞 ,这 些 安全 漏洞 一 旦 被 利用 ,将 会 对 云 系 统 造成 严重 
影响 。 

虚拟 化 技术 为 云 计 算 引 入 的 风险 包括 两 个 方面 , 即 虚拟 化 软件 安全 和 虚拟 服务 器 的 安 
全 。 虚 拟 化 软件 直接 部 署 于 裸 机 之 上 ,提供 能 够 创建 .运行 和 销毁 虚拟 服务 器 的 能 力 。 虚 拟 
化 软件 层 是 保证 客户 的 虚拟 机 在 多 租户 环境 下 相互 隔离 的 重要 层次 ,可 以 使 客户 在 一 台 计 
算 机 上 安全 地 同时 运行 多 个 操作 系统 ,所 以 必须 严格 限制 任何 未 经 授权 的 用 户 访问 虚拟 化 
软件 层 。 云 服务 提供 商 应 建立 必要 的 安全 控制 措施 ,限制 对 于 hypervisor 和 其 他 形式 的 虚 
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拟 化 层次 的 物理 及 逻辑 访问 。 

虚拟 服务 器 位 于 虚拟 化 软件 之 上 ,虚拟 服务 器 安全 包括 物理 机 选择 .虚拟 服务 器 安全 和 
日 常 管理 3 方面 。 

虚拟 操作 系统 管理 方面 的 现状 是 大 多 数 提供 缺 省 安全 保护 的 进程 都 未 被 加 入 ,因此 必 
须 特别 注意 如 何 代替 它们 的 功能 。 虚 拟 化 技术 本 身 引 入 了 hypervisor 和 其 他 管理 模块 这 
些 新 的 攻击 层面 ,但 更 重要 的 是 虚拟 化 对 网 络 安全 带 来 的 严重 威胁 ,虚拟 机 间 通 过 硬件 
的 背 板 而 不 是 网 络 进行 通信 ,因此 ,这 些 通信 流量 对 标准 的 网 络 安全 控制 来 说 是 不 可 见 
的 ,无 法 对 它们 进行 监测 在线 封 堵 , 类 似 这 些 安全 控制 功能 在 虚拟 化 环境 中 都 需要 采用 
新 的 形式 。 

在 使 用 虚拟 化 环境 时 , 云 系统 会 面临 如 下 风险 : 

(1) 如 果 主 机 受到 破坏 ,那么 主要 的 主机 所 管理 的 客户 端 服务 器 有 可 能 面临 被 攻克 的 
风险 。 

(2) 如 果 虚 拟 网 络 受 到 破坏 ,那么 客户 端 也 会 受到 损害 。 需 要 保障 客户 端 共享 和 主机 
共享 的 安全 ,因为 这 些 共享 有 可 能 被 非法 攻击 者 利用 。 

(3) 如 果 主 机 有 问题 ,那么 所 有 的 虚拟 机 都 会 产生 问题 。 

虚拟 机 和 物理 机 之 间 的 不 同 点 将 会 逐渐 减少 。 虚 拟 化 带 来 的 安全 问题 也 只 是 才刚 刚 起 
步 , 虚 拟 环境 中 的 安全 机 制 与 传统 物理 环境 中 的 安全 措施 相 比 , 仍 有 较 大 差距 。 所 以 , 想 要 
迁移 至 云 计算 环境 中 的 用 户 需 详细 了 解 用 户 与 云 计算 供应 商 所 要 承担 的 安全 责任 ,安全 的 
云 计算 环境 是 需要 用 户 与 供应 商 共 同 来 维护 的 。 

4) 云 服 务 滥用 

首先 , 云 计算 平台 为 用 户 提供 低 门槛 的 使 用 接口 ,用 户 不 需要 自行 维护 服务 器 、 网 络 , 只 
需 专注 于 自身 业务 。 用 户 可 以 通过 互联 网 申请 云 计算 平台 中 的 资源 ,而 且 这 种 资源 的 使 用 
是 按 需 付费 的 ,这 就 意味 着 使 用 资源 进行 信息 发 布 与 运营 的 能 力 是 可 扩展 的 ,然而 不 法 分 子 
也 同样 可 以 利用 云 平台 的 这 种 能 力 , 如 利用 庞大 的 网 络 资源 和 计算 资源 ,组 织 大 规模 DDOS 
攻击 ,这 样 的 攻击 往往 难以 防范 及 溯源 。 可 以 预见 的 是 ,在 云 计 算 时 代 , 随 着 系统 规模 的 扩 
大 和 复杂 性 的 提高 ,外 部 攻击 也 将 更 有 效率 ,从 而 将 传统 的 安全 问题 进一步 放大 ,为 安全 防 
御 带 来 更 大 的 挑战 。 

其 次 ,如 果 云 计算 服务 被 国外 巨头 垄断 ,这 些 垄 断 巨头 及 其 背后 的 政治 势力 可 以 借 此 对 
我 国 进行 远程 监测 和 控制 ,并 通过 对 用 户 整 体 情况 进行 统计 分 析 , 获 取 我 国 与 情 动向 、 经 济 
运行 情况 等 重要 数据 。 

同时 ,还 可 以 有 针对 性 地 向 我 国 推送 反动 有 害 等 信息 。 这 些 都 将 对 我 国政 治 、 经 济 、 文 
化 安全 构成 极 大 威胁 。 因 此 ,应 该 将 云 平台 视 为 重要 的 基础 设施 ,应 有 专门 机 构 对 其 运营 情 
况 进行 监管 : 一 方面 要 对 云 平 台 自 身 的 滥用 进行 管理 , 另 一 方面 要 对 云 平台 外 部 的 攻击 进 
行 管理 。 

此 外 ,由 于 对 云 服 务 可 靠 性 和 数据 敏感 性 的 担心 ,用 户 应 优先 选择 本 地 的 云 供应 商 。 鉴 
于 目前 国内 云 计 算 市 场 尚 不 成 熟 ,政府 和 企业 应 继续 制定 相关 技术 标准 ,而 这 需要 政府 部 
门 .研究 机 构 、 供 应 商 、 集 成 商 和 咨询 公司 等 各 方面 的 共同 努力 。 
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12.2 物 联网 系统 及 其 安全 问题 


物 联网 的 关键 在 于 应 用 , 物 联 网 应 用 将 深入 到 所 有 人 生活 的 方方面面 。 物 联网 应 用 中 
所 面临 的 安全 威胁 以 及 安全 事故 所 造成 的 后 果 , 将 比 互联 网 时 代 严 重 得 多 。 物 联网 安全 呈 
现 大 众 化 .平民 化 特征 ,安全 事故 的 危害 和 影响 巨大 ; 物 联网 应 用 中 各 处 都 需要 安全 ,安全 
措施 与 成 本 的 矛盾 十 分 突出 。 物 联网 安全 ,还 必须 改变 先 系统 后 安全 的 思路 ,在 物 联网 应 用 
设计 和 实施 之 初 ,就 必须 同时 考虑 应 用 和 安全 ,将 两 者 从 一 开始 就 紧密 结合 ,系统 地 考虑 感 
知 、 网 络 和 应 用 的 安全 ,才能 更 好 地 解决 各 种 物 联网 安全 问题 ,应 对 物 联 网 安全 的 新 挑战 。 

1. 物 联 网 体系 结构 

物 联网 (Internet of Things,IoT) 概 念 是 1999 年 提出 的 ,目前 还 没有 权威 的 物 联网 定 
义 。 目前 认可 度 比 较 高 的 物 联 网 定义 是 : 利用 无 线 射 频 识 别 (Radio Frequency 
Identification Devices, RFID) ,二 维 码 、 传 感 器、 激光 扫描 器 等 各 种 感知 技术 和 设备 ,将 网 络 
和 所 有 物体 相连 ,全 面 获取 真实 世界 的 各 种 信息 ,完成 人 与 物 \ 物 与 物 的 信息 交互 ,以 实现 对 
现实 世界 物体 的 智能 化 识别 .跟踪 定位 和 管理 控制 。 

从 技术 上 讲 , 物 联网 是 互联 网 的 延伸 和 发 展 ,不 是 全 新 凭空 而 出 的 。 物 联网 是 一 个 基于 
感知 技术 ,融合 了 各 类 应 用 的 服务 型 网 络 系统 ,可 以 利用 现 有 各 类 网 ,通过 自 组 网 能 力 ,无 颖 
连接 融合 形成 物 联网 。 物 联网 体系 结构 包含 3 个 层次 ,如 图 12. 2 所 示 , 下 层 是 感知 真实 世 
界 的 感知 层 , 中 间 是 完成 数据 传输 的 网 络 层 , 上 层 是 面向 用 户 的 应 用 层 。 
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图 12.2 物 联网 体系 结构 图 


2. 物 联网 安全 新 特征 

与 传统 网 络 相 比 , 物 联 网 发 展 带 来 的 安全 问题 将 更 为 突出 ,要 强化 安全 意识 ,把 安全 放 
在 首位 ,超前 研究 物 联网 产业 发 展 可 能 带 来 的 安全 问题 。 物 联网 安全 除了 要 解决 传统 信息 
安全 问题 之 外 ,还 需要 克服 成 本 、 复 杂 性 等 新 的 挑战 。 物 联网 安全 面临 的 新 挑战 主要 包括 需 
求 与 成 本 的 矛盾 ,安全 复杂 性 进一步 加 大 ,信息 技术 发 展 本 身 带 来 的 问题 ,以 及 物 联网 系统 
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攻击 的 复杂 性 和 动态 性 仍 较 难 把 握 等 方面 。 总 的 来 说 , 物 联网 安全 的 主要 特点 呈现 4 个 方 
面 , 即 大 众 化 , 轻 量 级 、 非 对 称 和 复杂 性 。 

1) 大 众 化 

物 联网 时 代 , 当 每 个 人 习惯 于 使 用 网 络 处 理 生 活 中 的 所 有 事情 的 时 候 , 当 人 们 习惯 于 网 
上 购物 、 网 上 办 公 的 时 候 , 信 息 安 全 就 与 人 们 的 日 常生 活 紧密 地 结合 在 一 起 了 ,不 青 是 可 有 
可 无 的 。 物 联网 时 代 如 果 出 现 了 安全 问题 , 那 每 个 人 都 将 面临 重大 损失 。 只 有 当 安 全 与 人 
们 的 利益 相关 的 时 候 , 所 有 人 才 会 重视 安全 ,也 就 是 所 谓 的 “大 众 化 ”。 

2) 轻 量 级 

物 联网 中 需要 解决 的 安全 威胁 数量 庞大 ,并 且 与 人 们 的 生活 密切 相关 。 物 联网 安全 必 
须 是 轻 量 级 、 低 成 本 的 安全 解决 方案 。 只 有 这 种 轻 量 级 的 思路 ,普通 大 众 才 可 能 接受 。 轻 量 
级 解决 方案 正 是 物 联 网 安全 的 一 大 难点 ,安全 措施 的 效果 必须 要 好 ,同时 要 低 成 本 ,这样 的 
需求 可 能 会 催生 出 一 系列 的 安全 新 技术 。 

3) 非 对 称 

物 联 网 中 ,各 个 网 络 边缘 的 感知 节点 的 能 力 较 弱 , 但 是 其 数量 庞大 ,而 网 络 中 心 的 信息 
处 理 系统 的 计算 处 理 能 力 非 常 强 ,整个 网 络 呈现 出 非 对 称 的 特点 。 物 联网 安全 在 面向 这 种 
非 对 称 网 络 的 时 候 , 需 要 将 能 力 弱 的 感知 节点 安全 处 理 能 力 与 网 络 中心 强 的 处 理 能 力 结合 
起 来 ,采用 高 效 的 安全 管理 措施 ,使 其 形成 综合 能 力 ,从 而 能 够 整体 上 发 挥 出 安全 设备 的 
效能 。 

4) 复杂 性 

物 联 网 安全 十 分 复杂 ,从 目前 可 认 知 的 观点 出 发 可 以 知道 , 物 联网 安全 所 面临 的 威胁 、 
要 解决 的 安全 问题 .所 采用 的 安全 技术 ,不 仅 在 数量 上 比 互联 网 大 很 多 ,而 且 还 可 能 出 现 互 
联网 安全 所 没有 的 新 闻 题 和 新 技术 。 物 联网 安全 涉及 到 信息 感知 、 信 息 传 输 和 信息 处 理 等 
多 个 方面 ,并 且 更 加 强调 用 户 隐 私 。 物 联网 安全 各 个 层面 的 安全 技术 都 需要 综合 考虑 ,系统 
的 复杂 性 将 是 一 大 挑战 ,同时 也 将 呈现 大 量 的 商机 。 

3. 物 联网 安全 威胁 分 析 

物 联 网 各 个 层次 都 面临 安全 威胁 , 现 分 别 从 感知 层 、 网 络 层 和 应 用 层 对 其 面临 的 安全 威 
胁 进行 分 析 。 

1) 感知 层 安全 威胁 

如 果 感 知 结 点 所 感知 的 信息 不 采取 安全 防护 或 者 安全 防护 的 强度 不 够 , 则 很 可 能 这 些 
信息 被 第 三 方 非法 获取 ,这 种 信息 泄密 某 些 时 候 可 能 造成 很 大 的 危害 。 由 于 安全 防护 措施 
的 成 本 因素 或 者 使 用 便利 性 等 因素 ,很 可 能 某 些 感知 结 点 不 会 或 者 采取 很 简单 的 信息 安全 
防护 措施 ,这样 将 导致 大 量 的 信息 被 公开 传输 ,其 结果 很 可 能 是 在 意 想不到 的 时 候 引 起 严重 
后 果 。 

感知 层 普遍 的 安全 威胁 是 某 些 普通 结 点 被 攻击 者 控制 之 后 ,其 与 关键 结 点 交互 的 所 有 
信息 都 将 被 攻击 者 获取 。 攻 击 者 的 目的 除了 窃听 信息 外 ,还 可 能 通过 其 控制 的 感知 结 点 发 
出 错误 信息 ,从 而 影响 系统 的 正常 运行 。 感 知 层 安全 措施 必须 能 够 判断 和 阻 断 恶 意 结 点 ,并 
且 还 需要 在 阻 断 恶意 结 点 后 ,保障 感知 层 的 连通 性 。 

2) 网 络 层 安全 威胁 

物 联 网 网 络 层 的 网 络 环境 与 目前 的 互联 网 网 络 环境 一 样 , 也 存在 安全 挑战 ,并 且 由 于 其 
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中 涉及 到 大 量 异 构 网 络 的 互联 互通 , 跨 网 络 安全 域 的 安全 认证 等 方面 会 更 加 严重 。 

网 络 层 很 可 能 面临 非 授 权 结 点 非法 接 入 的 问题 ,如 果 网 络 层 不 采取 网 络 接 入 控制 措施 ， 
就 很 可 能 被 非法 接 入 ,其 结果 可 能 是 网 络 层 负担 加 重 或 者 传输 错误 信息 。 

互联 网 或 者 下 一 代 网 络 将 是 物 联网 网 络 层 的 核心 载体 ,互联 网 遇 到 的 各 种 攻击 仍然 存 
在 ,甚至 更 多 ,需要 有 更 好 的 安全 防护 措施 和 抗 毁 容 灾 机 制 。 物 联网 终端 设备 处 理 能 力 和 网 
络 能 力 差异 巨大 ,应 对 网 络 攻 击 的 防护 能 力也 有 很 大 差别 ,传统 互联 网 安全 方案 难以 满足 需 
求 ,并 且 也 很 难 采用 通用 的 安全 方案 解决 所 有 问题 ,必须 针对 具体 需求 而 制定 多 种 安全 
方案 。 

3) 应 用 层 安全 威胁 

物 联 网 应 用 层 涉及 到 方方面面 的 应 用 ,智能 化 是 重要 特征 。 智 能 化 应 用 能 够 很 好 地 处 
理 海量 数据 ,满足 使 用 需求 ,但 如 果 智 能 化 应 用 一 旦 攻击 者 被 利用 , 则 将 造成 更 加 严重 的 后 
果 。 应 用 层 的 安全 问题 是 综合 性 的 ,需要 结合 具体 的 应 用 展开 应 对 。 

4. 物 联 网 安全 技术 体系 结构 

物 联 网 安全 需要 对 物 联 网 的 各 个 层次 进行 有 效 的 安全 保障 ,以 应 对 感知 层 、 网 络 层 和 应 
用 层 所 面临 的 安全 威胁 ,并 且 还 要 能 够 对 各 个 层次 的 安全 防护 手段 进行 统一 的 管理 和 控制 。 
物 联网 安全 体系 结构 如 图 12. 3 所 示 。 
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12.3 物 联 网 安全 体系 结构 


感知 层 安全 主要 分 为 设备 物理 安全 和 信息 安全 两 类 。 传 感 器 节点 之 间 的 信息 需要 保 
护 ,传感器 网 络 需要 安全 通信 机 制 ,确保 结 点 之 间 传 输 的 信息 不 被 未 授权 的 第 三 方 获得 。 安 
全 通信 机 制 需 要 使 用 密码 技术 。 传 感 器 网 络 中 通信 加 密 的 难点 在 于 轻 量 级 的 对 称 密码 体制 
和 轻 量 级 加 密 算法 。 感 知 层 主要 通过 各 种 安全 服务 和 各 类 安全 模块 ,实现 各 种 安全 机 制 , 对 
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某 个 具体 的 传感器 网 络 ,可 以 选择 不 同 的 安全 机 制 来 满足 其 安全 需求 。 

网 络 层 安全 主要 包括 网 络 安全 防护 、 核 心 网 安全 、 移 动 通信 接 人 安全 和 无 线 接 人 安全 
等 。 网 络 层 安全 要 实现 端 到 端 加 密 和 节点 间 的 数据 加 密 。 对 于 端 到 端 加 密 , 需 要 采用 端 到 
端 认 证 、 端 到 端 密 钥 协 商 、 密 钥 分 发 技术 ,并 且 要 选用 合适 的 加 密 算法 ,还 需要 进行 数据 完整 
性 保护 。 对 于 结 点 间 的 数据 加 密 , 需 要 完成 结 点 间 的 认证 和 密 钥 协商 ,加 密 算法 和 数据 完整 
性 保护 则 可 以 根据 实际 需求 选取 或 省 略 。 

应 用 层 安全 除了 传统 的 应 用 安全 之 外 ,还 需要 加 强 处 理 安全 数据 安全 和 云 安全 。 多 样 
化 的 物 联 网 应 用 面临 各 种 各 样 的 安全 问题 ,除了 传统 的 信息 安全 问题 , 云 计 算 安 全 问题 也 是 
物 联 网 应 用 层 所 需要 面 对 的 。 因 此 应 用 层 需要 一 个 强大 而 统一 的 安全 管理 平台 ,和 否则 每 个 
应 用 系统 都 建立 自身 的 应 用 安全 平台 ,将 会 影响 安全 互 操作 性 ,导致 新 一 轮 安 全 问题 的 产 
生 。 除 了 传统 的 访问 控制 ,授权 管理 等 安全 防护 手段 , 物 联网 应 用 层 还 需要 新 的 安全 机 制 ， 
例如 对 个 人 隐私 保护 的 安全 需求 等 。 


12.3 移动 互联 网 安全 技术 


伴随 着 移动 通信 和 互联 网 的 发 展 ,两 者 结合 的 产物 移动 互联 网 越 来 越 受 到 人 们 的 重视 。 
通信 产业 巨头 们 纷纷 确立 自己 的 移动 互联 网 发 展 战略 ,并 推出 了 相关 的 产品 。 伴 随 着 移动 
互联 网 的 发 展 , 有 一 些 问题 诸如 安全 问题 也 焉 待 解决 。 本 节 首 先 从 移动 互联 网 的 发 展 引入 ， 
疗 述 移动 互联 网 的 特点 以 及 它 存 在 的 安全 威胁 ,再 从 安全 隐患 谈 到 相应 的 安全 机 制 ,最 后 就 
产业 链 协同 发 展 .共同 保护 移动 互联 网 的 安全 问题 提出 相关 的 建议 。 

1. 移动 互联 网 的 产生 和 发 展 及 安全 性 方面 特点 

移动 互联 网 (Mobile Internet) 成 为 当今 网 络 的 一 大 热门 词汇 ,其 日 趋 火热 也 是 网 络 发 展 
的 必然 结果 。 目 前 ,移动 代替 固定 成 为 一 个 不 可 争辩 的 事实 ,而 互联 网 的 飞速 发 展 ,也 是 信息 
社会 发 展 的 一 个 必然 趋势 ,两 者 的 结合 体 移动 互联 网 的 诞生 和 发 展 就 成 为 一 个 必然 的 产物 。 

从 2006 年 下 半年 到 现在 ,国际 、 国 内 一 些 ICT 巨头 的 发 展 战略 和 重大 事项 , 越 来 越 注 
重 于 移动 互联 网 。2006 年 9 月 ,爱立信 ,诺基亚 .GSM 协会 .微软 .Google、 沃 达 丰 等 13 家 
公司 共同 创建 mobi, 宣 告 向 移动 互联 网 进军 的 决心 ; 2007 年 ,Intel 在 IDF 大 会 上 提出 MID 
概念 ,而 苹果 则 推出 了 代表 性 的 终端 iPhone 诺基亚 则 推出 移动 互联 网 服务 品牌 OVI,2008 
年 Google 推出 了 Android 智能 终端 操作 系统 。ICT 界 的 巨头 纷纷 推出 自己 的 移动 互联 网 
战略 ,标志 着 一 个 田 新 时 代 的 开始 。 

移动 互联 网 是 以 移动 通信 网 作为 接 人 网 络 的 互联 网 及 服务 , 它 包 括 几 个 要 素 : 移动 通 
信 网 络 接 和 ,包括 2G、3G 和 4G 等; 公众 互联 网 服务 ; 移动 互联 网 终端 。 移动 互联 网 和 传 
统 的 互联 网 有 一 定 的 差异 ,从 表现 形式 来 看 ,传统 互联 网 是 开放 的 、 免 费 的 ,拥有 海量 的 信息 
平台 ,由 于 其 本 身 设计 理念 ,无 法 对 用 户 进 行 身份 确认 ,而 移动 互联 网 却 能 做 到 这 一 点 。 所 
以 ,相对 而 言 ,移动 互联 网 对 网 络 安全 有 着 更 高 的 要 求 ,更 强调 保护 用 户 的 行为 及 隐私 不 受 
干扰 。 但 是 ,目前 移动 互联 网 在 终端 和 业务 应 用 方面 存在 较 大 的 安全 漏洞 , 随 着 智能 终端 的 
普及 ,终端 的 安全 和 防护 性 存在 重大 考验 ; 业务 应 用 方面 ,使 用 移动 互联 网 的 用 户 可 能 会 受 
到 来 自 于 各 种 渠道 的 垃圾 信息 .如 短信 、WAP、E-mail 等 ,或 者 通过 业务 应 用 泄露 用 户 信息 。 
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相对 而 言 ,传统 互联 网 上 的 PC 终端 防范 意识 起 步 较 早 ,用 户 可 以 通过 安装 补丁 或 者 杀毒 软 
件 进 行 终端 和 业务 应 用 的 保护 。 

2. 移动 互联 网 安全 威胁 

移动 互联 网 的 安全 通信 框架 可 以 参考 ITU-T X. 805 框架 ,如 图 12.4 所 示 ,X. 805 的 安 
全 框架 基本 上 由 3 个 层次 、3 个 平面 和 8 个 维度 构成 。 从 保障 移动 互联 网 的 安全 角度 而 言 ， 
我 们 认为 要 保证 终端 方面 的 安全 、 网 络 方面 的 安全 和 业务 方面 的 安全 ,目前 移动 互联 网 在 终 
端 安 全 和 业务 安全 方面 相对 存在 较 大 安全 隐患 ,需要 人 们 注意 。 
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图 12.4 ITU-T X. 805 安全 通信 框架 图 


1) 终端 方面 的 安全 威胁 

随 着 通信 技术 的 进步 ,终端 也 越 来 越 智能 化 ,内 存 和 芯片 处 理 能 力也 逐渐 增强 ,终端 上 
也 出 现 了 操作 系统 并 逐步 开放 。 随 着 智能 终端 的 出 现 ,也 带 来 了 潜在 的 威胁 ,包括 非法 算 
改 信息 ,非法 访问 ,或 者 通过 操作 系统 修改 终端 中 存在 的 信息 .产生 病毒 和 恶意 代码 进行 
破坏 。 

2) 网 络 方面 的 安全 威胁 

在 网 络 层 面 , 存 在 进行 非法 接 人 网 络 , 对 数据 进行 机 密 性 破坏 、 完 整 性 破坏 ; 进行 拒绝 
服务 攻击 ,利用 各 种 手段 产生 数据 包 造 成 网 络 负荷 过 重 等 ,还 可 以 利用 嗅 探 工 具 、 系 统 漏洞 、 
程序 漏洞 等 各 种 方式 进行 攻击 。 

3) 业务 方面 的 安全 威胁 

在 业务 层面 的 安全 威胁 ,包括 非法 访问 业务 ,非法 访问 数据 .拒绝 服务 攻击 等 。 还 包括 
目前 存在 的 垃圾 信息 的 泛滥 \ 不 良 信息 的 传播 ,以 及 个 人 隐私 和 敏感 信息 的 泄露 ,内 容 版 权 
盗用 和 不 合理 的 使 用 等 问题 。 

3. 移动 互联 网 安全 机 制 

针对 上 述 的 安全 威胁 ,移动 互联 网 也 有 合适 的 安全 机 制 来 应 对 此 类 安全 威胁 。 因 为 移 
动 互联 网 接 入 部 分 是 移动 通信 和 网络 ,无 论 是 采用 2G、3G 或 4G 进行 接 入 ,3GPP、OMA 等 组 
织 都 制定 了 完善 的 安全 机 制 。 我 们 也 可 以 从 终端 网 络 和 业务 的 安全 机 制 方面 来 分 别 进行 
阐述 ,通过 相应 的 安全 机 制 ,能 较 好 地 控制 移动 互联 网 相关 的 不 安全 因素 。 
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1) 终端 方面 的 安全 机 制 

移动 互联 网 终端 ,应 具有 身份 认证 的 功能 ,具有 对 各 种 系统 资源 .业务 应 用 的 访问 控制 
能 力 , 对 于 身份 认证 可 以 通过 口令 方式 或 者 智能 卡 方式 、 实 体 鉴别 机 制 等 手段 保证 安全 性 。 
对 于 数据 信息 的 安全 性 保护 和 访问 控制 ,可 以 通过 设置 访问 控制 策略 来 保证 其 安全 性 ,对 于 
终端 内 部 存储 的 一 些 数据 ,可 以 通过 分 级 存储 和 隔离 ,以 及 数据 的 完整 性 的 检测 等 手段 来 保 
证 安全 性 。 

2) 网 络 方面 的 安全 机 制 

目前 ,在 移动 互联 网 接 人 网 方面 ,无 论 是 2G 还 是 3G、4G, 都 有 一 套 完整 的 安全 机 制 。 
2G 主要 有 基于 时 分 多 址 (TDMA) 的 GSM 系统 .DAMPS 系统 及 基于 码 分 多 址 (CDMA) 的 
CDMA 1X/2000 系统 ,这 两 类 系统 安全 机 制 的 实现 有 很 大 区 别 , 但 都 是 基于 私 钥 密码 体制 ， 
采用 共享 秘密 数据 ( 私 钥 ) 的 安全 协议 ,实现 对 接 和 人 用 户 的 认证 和 数据 信息 的 保密 ,在 身份 认 
证 及 加 密 算 法 等 方面 存在 着 许多 安全 隐患 ; 3G .4G 在 2G 的 基础 上 进行 了 改进 ,继承 了 2G 
系统 安全 的 优点 ,同时 针对 3G、4G 系统 的 新 特性 ,定义 了 更 加 完善 的 安全 特征 与 安全 服务 。 
目前 3G、4G 移动 通信 网 络 的 安全 机 制 包括 3GPP 和 3GPP2 两 个 类 别 。 

3) 业务 方面 的 安全 机 制 

对 于 业务 方面 ,3GPP 和 3GPP2 都 有 相应 业务 标准 的 机 制 。 例 如 WAP 安全 机 制 、 
Presence 业务 安全 机 制定 位 业务 安全 机 制 ,移动 支付 业务 安全 机 制 等 ; 其 他 方面 还 包括 垃 
圾 短 消息 的 过 滤 机 制 ,对 于 版 权 有 OMA 的 DRM 的 标准 等 。 移 动 互联 网 业务 纷繁 复杂 , 需 
要 通过 多 种 手段 ,不 断 健全 业务 方面 的 安全 机 制 。 


12.4 小 结 


云 计算 , 物 联网 和 移动 互联 网 等 新 技术 快速 发 展 ,基于 这 些 新 技术 构建 的 信息 系统 也 在 
各 行 各 业 得 到 越 来 越 广泛 的 运用 。 传 统 的 信息 系统 安全 技术 已 不 能 完全 适用 于 这 些 新 型 信 
息 系统 的 安全 防护 工作 ,学 习 和 研究 针对 这 些 新 型 信息 系统 的 安全 防护 技术 迫在眉睫 。 

本 章 对 信息 系统 安全 新 技术 进行 总 体 介绍 ,详细 介绍 云 计算 系统 的 基本 概念 .面临 的 主 
要 安全 威胁 和 主要 应 对 策略 ; 讲述 了 物 联网 的 概念 、 体 系 结构 和 安全 新 特征 ; 介绍 移动 互 
联网 的 发 展现 状 、 安 全 性 方面 的 特点 以 及 主要 安全 机 制 。 

通过 本 章 内 容 的 学 习 , 读 者 可 以 了 解 信息 系统 的 新 技术 、 新 技术 面临 的 安全 威胁 ,主要 
的 安全 防护 技术 等 内 容 。 





习 题 
一 、 填 空 题 
1. 云 计算 安全 包括 两 个 主要 研究 方向 ,分 别 是 和 
2 是 云 计算 的 重要 特色 ， 有 效 加 强 了 基础 设施 ,平台 、 软 件 层面 的 扩 


展 能 力 。 
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3. 物 联网 体系 结构 包含 3 个 层次 ,分 别 是 3 和 
4. 移动 互联 网 面临 的 安全 威胁 主要 来 自 3 个 方面 ,分 别 是 
和 








二 、 选 择 
1. 云 计 算 的 三 种 交付 模式 是 IaaS、PaaS 和 
A. BaaS B. SaaS C. TaaS D. HaaS 
2 是 一 个 基于 感知 技术 ,融合 了 各 类 应 用 的 服务 型 网 络 系统 ,可 以 利用 现 有 
各 类 网 ,通过 自 组 网 能 力 , 无 颖 连接 融合 形成 。 
A. 互联 网 B. 移动 互联 网 C. 物 联网 D. 无 线 自 组 网 
三 、 简 答题 


1. 试 述 云 计算 面临 的 主要 安全 问题 及 应 对 策略 。 
2. 物 联 网 安全 的 新 特征 有 哪些 ? 
3. 移动 互联 网 的 安全 机 制 有 哪些 ? 
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